Hvor ofte bør vi få lavet en pentest?

For de fleste SMV’er er årligt et fornuftigt udgangspunkt, suppleret med test efter væsentlige ændringer (ny infrastruktur, nye eksponerede applikationer, migrering). Løbende sårbarhedsscanning dækker perioden imellem.

Hvad koster en pentest?

Prisen afhænger af scope og dybde. En afgrænset ekstern test af en SMV’s perimeter ligger typisk i den lave ende; fuld intern + ekstern test med webapplikationer koster mere. Få altid scope og metode på skrift, før I sammenligner priser.

Kan en pentest ødelægge vores systemer?

En professionel test udføres efter aftalte spilleregler (rules of engagement) med definerede vinduer, eskalationskontakter og forbud mod destruktive teknikker. Risikoen er lav — og langt lavere end risikoen ved ikke at kende sine sårbarheder.

Er en pentest lovpligtig under NIS2?

NIS2 nævner ikke ordet “pentest” direkte, men kræver at omfattede virksomheder afprøver og vurderer effektiviteten af deres sikkerhedsforanstaltninger. Penetrationstest er en af de mest anerkendte måder at dokumentere netop det.

Viden

Hvad er en penetrationstest — og hvornår har I brug for én?

En penetrationstest (pentest) er et kontrolleret, autoriseret angreb på jeres systemer, udført af en sikkerhedsspecialist, der bruger samme metoder som en reel angriber. Formålet er at finde og dokumentere sårbarheder, der kan udnyttes i praksis — ikke kun dem, et automatisk værktøj kan gætte sig til.

Udgivet: 20. juni 2026Opdateret: 20. juni 2026Læsetid: 5 min.

Hvad er forskellen på en pentest og en sårbarhedsscanning?

En sårbarhedsscanning er automatiseret: Et værktøj sammenligner jeres systemer med en database over kendte sårbarheder og producerer en liste. Den er billig, hurtig og bør køres løbende.

En pentest går videre. Testeren verificerer manuelt, om sårbarhederne faktisk kan udnyttes, kæder dem sammen og vurderer den reelle forretningskonsekvens. En scanning fortæller, at døren måske er ulåst — en pentest åbner den og dokumenterer, hvad en angriber kunne nå indenfor.

I praksis supplerer de hinanden: scanning som løbende hygiejne, pentest som periodisk realitetstjek.

Hvilke typer pentest findes der?

Valget afhænger af, hvor meget viden testeren får på forhånd:

Black box: Testeren ved kun det, en ekstern angriber ville vide. Mest realistisk, men bruger mere tid på rekognoscering.
Grey box: Testeren får begrænset viden, fx en almindelig brugerkonto. Ofte det bedste forhold mellem pris og dybde for SMV’er.
White box: Testeren får fuld adgang til dokumentation, kildekode og konfiguration. Mest grundig pr. testtime.

Derudover skelnes der mellem scope: ekstern infrastruktur, intern infrastruktur, webapplikationer, Wi-Fi/netværk og social engineering.

Hvad skal en pentest-rapport indeholde?

En seriøs rapport indeholder som minimum: et ledelsesresumé i klart sprog, metode og scope, fund klassificeret efter alvorlighed (typisk Critical/High/Medium/Low), dokumentation af hvordan hvert fund blev verificeret, og konkrete, prioriterede anbefalinger til udbedring.

Vær skeptisk over for “rapporter”, der reelt er rå scanneroutput med logo på. Hvis der ikke er manuel verifikation og en udnyttelseskæde bag fundene, har I betalt pentest-pris for en sårbarhedsscanning.

Hvornår har I brug for en pentest?

Typiske anledninger: I skal dokumentere sikkerhed over for kunder eller i udbud, I er omfattet af NIS2 eller DORA og skal afprøve jeres foranstaltninger, I har lavet større ændringer i infrastruktur eller applikationer — eller I vil simpelthen vide, om jeres sikkerhedsinvesteringer holder i mødet med en rigtig modstander.

NIS2-lovens krav om afprøvning og vurdering af sikkerhedsforanstaltninger gør periodisk test til en naturlig del af compliance-arbejdet, og leverandører til NIS2-omfattede virksomheder mødes i stigende grad af kontraktkrav om dokumenteret test.

Ofte stillede spørgsmål

Hvor ofte bør vi få lavet en pentest?
For de fleste SMV’er er årligt et fornuftigt udgangspunkt, suppleret med test efter væsentlige ændringer (ny infrastruktur, nye eksponerede applikationer, migrering). Løbende sårbarhedsscanning dækker perioden imellem.
Hvad koster en pentest?
Prisen afhænger af scope og dybde. En afgrænset ekstern test af en SMV’s perimeter ligger typisk i den lave ende; fuld intern + ekstern test med webapplikationer koster mere. Få altid scope og metode på skrift, før I sammenligner priser.
Kan en pentest ødelægge vores systemer?
En professionel test udføres efter aftalte spilleregler (rules of engagement) med definerede vinduer, eskalationskontakter og forbud mod destruktive teknikker. Risikoen er lav — og langt lavere end risikoen ved ikke at kende sine sårbarheder.
Er en pentest lovpligtig under NIS2?
NIS2 nævner ikke ordet “pentest” direkte, men kræver at omfattede virksomheder afprøver og vurderer effektiviteten af deres sikkerhedsforanstaltninger. Penetrationstest er en af de mest anerkendte måder at dokumentere netop det.

Kilder

NIS2-direktivet (EU) 2022/2555, artikel 21

NIS 2-loven (lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau), i kraft 1. juli 2025

Styrelsen for Samfundssikkerhed: vejledninger om implementering af cybersikkerhedsforanstaltninger (samsik.dk)

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.