Af Kristoffer Waage Beck, OpinioSec, Marts 2026
Du pentester én gang om året. De resterende 364 dage flyver du blindt.
Det lyder dramatisk. Men tænk over det: Din årlige pentest-rapport landede i marts. I april udkom tre kritiske CVE’er. I maj skiftede en netværksadministrator job og hans servicekonti blev aldrig deaktiveret. I juni migrerede udviklingsafdelingen til en ny cloud-provider. I august åbnede nogen en RDP-port “midlertidigt” for en leverandør. Den er der stadig.
Ingen af de ting er dækket af din pentest-rapport. Den rapport, du brugte 250.000 kr. på, beskriver et miljø der ikke længere eksisterer.
Velkommen til virkeligheden for de fleste danske virksomheder. Og med NIS2 i kraft siden 1. juli 2025 er det en virkelighed, der kan koste dig op til 75 millioner kroner i bøder og din CISO eller bestyrelsesformand et personligt ansvar. Læs her hvordan kontinuerlig penetrationstest kan løse problemet.
Problemet med årlig pentest
Lad os være ærlige om hvad en traditionel pentest faktisk er: et point-in-time snapshot. En konsulent bruger 1-3 uger på at teste et afgrænset scope, skriver en rapport, og afleverer den 2-4 uger efter testens afslutning. Rapporten er allerede forældet, inden blækket er tørt.
Modellen er forældet. Den havde sin plads, men den har tre fundamentale svagheder der gør den umulig at forsvare i 2026:
1. Tidsmæssig blindhed
En årlig pentest dækker et vindue på typisk 5-15 arbejdsdage. Det er 1-4% af året. De øvrige 96-99% af tiden har du ingen validering af, om dine sikkerhedskontroller faktisk virker. Du antager, at det billede, du fik i marts, stadig er korrekt i november. Det er det ikke.
2. Scope-begrænsning
Budget og tid tvinger altid en afgrænsning. Du tester det interne netværk, men ikke cloud-miljøet. Eller du tester webapplikationen, men ikke Active Directory. En angriber har ikke et scope. En angriber tester alt.
3. Rapport-latens
Fra testens afslutning til du har en færdig rapport går der typisk 2-4 uger. Fra rapport til remediering går der yderligere uger til måneder. Fra remediering til verifikation, ja, det kræver en ny test. Og en ny regning.
I mellemtiden udnytter angribere sårbarheder inden for timer efter offentliggørelse. Den gennemsnitlige tid fra CVE-publicering til aktiv udnyttelse er faldet fra uger til dage. Din årlige cadence er simpelthen for langsom.
Hvad ændrer sig mellem dine tests?
Hvis dit IT-miljø var statisk, ville årlig pentest måske være tilstrækkeligt. Men intet miljø er statisk. Her er hvad der typisk ændrer sig mellem to årlige pentests:
Nye sårbarheder: I 2024 blev der publiceret over 29.000 CVE’er, det er ca. 80 nye sårbarheder om dagen. Selv hvis kun 1% er relevante for dit miljø, er det næsten 300 nye angrebsvektorer om året, du ikke har testet.
Configuration drift: Firewallregler ændres. Undtagelser tilføjes. “Midlertidige” porte åbnes og glemmes. Hardening-baselines udvandes gradvist over tid. Det sker ikke af ond vilje. det sker fordi drift er komplekst, og små ændringer akkumulerer.
Medarbejderudskiftning: En netværksadministrator stopper. Servicekonti, VPN-adgange og SSH-nøgler følger ikke automatisk med ud af døren. Nye medarbejdere får onboarding-adgange, der aldrig strammes. Privilegerede konti ophobes som gæld.
Ny infrastruktur: En ny SaaS-integration, en ekstra Azure-subscription, en IoT-enhed på netværket, et nyt API-endpoint. Hver tilføjelse udvider angrebsfladen, men var ikke med i det scope, din pentester testede.
Leverandøradgange: Managed service providers, softwareleverandører, konsulenter, alle med varierende grader af adgang til dit miljø. NIS2 stiller eksplicit krav om forsyningskædesikkerhed (Artikel 21d), men din årlige pentest tester sjældent leverandøradgange.
Summen af alt dette: det miljø, din pentester testede i marts, er et fundamentalt andet miljø end det, du kører i september. Din rapport er et fotografi af en bygning, der er blevet ombygget.
Hvad er kontinuerlig sikkerhedsvalidering?
Kontinuerlig sikkerhedsvalidering er præcis, hvad det lyder som: en løbende proces, hvor dine sikkerhedskontroller testes og verificeres, ikke en gang om året, men ugentligt, månedligt eller endda dagligt.
Og lad os slå det fast med det samme: det er ikke sårbarhedsscanning.
En sårbarhedsscanner (Qualys, Tenable, Nessus) fortæller dig, at en CVE kan eksistere på en host. Den giver dig en liste med tusindvis af fund sorteret efter CVSS-score. Den tester ikke om sårbarheden faktisk kan udnyttes. Den kæder ikke svagheder sammen. Den bevæger sig ikke lateralt. Den beviser ingenting.
NodeZero er en autonom angriber. Den finder en svaghed, udnytter den, bruger den til at komme videre, eskalerer privilegier og dokumenterer hele angrebskæden med proof of exploit. Det er forskellen på at få at vide “din dør kan være ulåst” og at se nogen gå ind, tage nøglerne til pengeskabet og gå ud igen med dokumentation for hvert skridt.
| Sårbarhedsscanner | NodeZero | |
|---|---|---|
| Output | CVE-liste med CVSS-scores | Dokumenterede angrebsstier med proof of exploit |
| Beviser udnyttelse | ❌ Nej, kun teoretisk risiko | ✅ Ja, faktisk exploitation |
| Kæder svagheder | ❌ Nej, isolerede fund | ✅ Ja, komplet attack chain |
| Lateral movement | ❌ Nej | ✅ Ja, bevæger sig som en angriber |
| Privilege escalation | ❌ Nej | ✅ Ja, fra bruger til domain admin |
| Fix-verifikation | ❌ Ny scanning, ingen garanti | ✅ Quick Verify, bevist lukket |
| Prioritering | CVSS i et vakuum | Faktisk impact baseret på exploiterbarhed |
| False positives | Mange | Næsten nul, alt er bevist |
Dine kunder har sandsynligvis allerede en sårbarhedsscanner. Den erstattes ikke, den suppleres. Men den giver jer et falsk billede af jeres risiko. NodeZero giver jer det rigtige.
Konkret betyder det:
- Autonom, kontinuerlige penetrationstests der kan køre mod hele dit miljø uden at en konsulent skal sidde bag tastaturet
- Automatiseret angrebskæde-validering der tester, om en initial adgang kan eskaleres til domain admin, følsom data eller kritiske systemer
- Scheduleret gentagelse så du tester efter hver væsentlig ændring, ikke efter et år
- Hurtig verifikation af om specifikke fixes faktisk lukker de huller, de skulle lukke
Tænk på det som forskellen mellem en årlig helbredsundersøgelse og et smartwatch, der løbende måler din puls, blodtryk og søvn. Begge har værdi. Men kun én giver dig besked, når noget er galt lige nu.
Vil du se hvad en angriber ser i jeres netværk?
NodeZero kører en fuld pentest på under 4 timer. Ingen agents, ingen forpligtelser.
Årlig vs. kontinuerlig penetrationstest: En konkret sammenligning
| Parameter | Årlig manuel pentest | Automatiseret kontinuerlig penetrationstest |
|---|---|---|
| Frekvens | 1-2 tests/år | 52+ tests/år (ugentlig) |
| Dækning over tid | 1-4% af året | ~100% af året |
| Typisk scope | Afgrænset (netværk ELLER app ELLER cloud) | Fuld infrastruktur, hver gang |
| Tid fra test til rapport | 2-4 uger | Real-time / samme dag |
| Tid fra fund til fix-verifikation | Måneder (ny test nødvendig) | Timer (Quick Verify) |
| Pris per år | 150.000-400.000+ DKK per scope | Fast abonnement, ubegrænsede tests |
| Skalerbarhed | Lineær (mere scope = mere pris) | Flad (samme pris, alt scope) |
| Konsistens | Varierer med tester-kvalitet | Reproducerbar, hver gang |
| Compliance-dokumentation | 1 rapport/år | Kontinuerlig audit trail |
| Risiko-eksponeringstid | Gns. 6 mdr. mellem test og ny sårbarhed | Dage |
Den sidste linje er afgørende: med årlig pentest er din gennemsnitlige eksponeringstid for en ny sårbarhed seks måneder. Med ugentlig validering er den dage. Det er forskellen mellem at opdage en åben dør inden for en uge, og at lade den stå åben et halvt år.
Hvad NIS2 kræver og hvorfor det ændrer spillereglerne
NIS2 Artikel 21(f) kræver at omfattede virksomheder implementerer “politikker og procedurer til at vurdere effektiviteten af cybersikkerhedsforanstaltninger.” Det er ikke et forslag. Det er et krav.
Spørgsmålet er: hvordan beviser du effektivitet? Du kan lave policy-reviews. Du kan gennemføre tabletop-øvelser. Men den mest direkte og troværdige metode er at teste dine kontroller, som en angriber ville, med penetration testing.
NIS2 nævner ikke eksplicit “pentest”. Men som sikkerhedseksperter har påpeget: “NIS2 does not explicitly mandate penetration testing, but it requires measures that are hardly feasible or verifiable without it.” Det er svært at argumentere for, at du har vurderet effektiviteten af dine sikkerhedsforanstaltninger, hvis du aldrig har testet, om de holder til et reelt angreb.
Og vigtigere: Artikel 21(f) taler om løbende vurdering. Ikke “en gang om året.” Direktivets ånd peger klart mod kontinuerlig validering, ikke årlige snapshots.
Med bøder op til €10 millioner (eller 2% af global omsætning) for væsentlige enheder og personligt ledelsesansvar for bestyrelsen, er incitamentet til at gøre det ordentligt betydeligt.
Hvordan NodeZero leverer kontinuerlig validering
NodeZero fra Horizon3.ai er en autonom, kontinuerlig penetrationtest-platform, der erstatter den årlige konsulentpentest. Ikke som et supplement ( som en erstatning.
Kontinuerlig penetrationstest i timer: ikke uger
NodeZero kører en fuld intern pentest på timer. Ikke dage, ikke uger, timer. Platformen fungerer som en reel angriber: den scanner, enumererer, finder sårbarheder, udnytter dem, eskalerer privilegier og dokumenterer hele angrebskæden. Alt sammen autonomt, uden en konsulent bag tastaturet.
Den er agentless, ingen software skal installeres på dine systemer. En Docker-container eller OVA på dit netværk er alt, der kræves. Og den er production-safe: med over 170.000 tests kørt sikkert i produktionsmiljøer er NodeZero designet til at bevise exploits uden at skade dine systemer. Det er ikke et lab-værktøj, det er bygget til den virkelige verden.
Fuld angrebsflade: ikke afgrænset scope
Intern netværk, ekstern angrebsflade, cloud-miljøer (AWS, Azure), webapplikationer, Active Directory. NodeZero tester det hele. Og vigtigere: den kan pivotere mellem miljøer, ligesom en reel angriber. Fandt den credentials internt, der giver adgang til cloud? Den tester det. Er der en webapplikation med en SQL-injection, der fører til intern netværksadgang? Den finder vejen.
Quick Verify: bevis at dit fix virker
En af de mest undervurderede funktioner: Quick Verify. Når du har remedieret en finding, kan du køre en målrettet gentest af netop den sårbarhed, uden at køre en fuld pentest. Det lukker feedback-loopet fra dage til timer. Ingen ny engagement, ingen ny regning, ingen ventetid.
Scheduling: automatisér din cadence
Tænk på det som “Pentest Wednesday”, fra Microsofts Patch Tuesday til automatiseret pentest dagen efter. Test efter hver patch-cyklus, ikke én gang om året. Sæt NodeZero til at køre ugentligt, månedligt, eller efter hver change window. Resultater leveres i et real-time dashboard med detaljeret angrebskæde-visualisering og specifik remedieringsvejledning per finding. Din compliance-dokumentation opbygges automatisk, en kontinuerlig audit trail, der dokumenterer over for NIS2-tilsyn, at du løbende vurderer effektiviteten af dine kontroller.
Med OpinioSec Compliance & Security Portal (OCSP) får du det fulde overblik oven på NodeZero: en 12-måneders kalendervisning med planlagte tests, blackout-vinduer og historiske resultater. Fund mappes automatisk mod dine kontrolkrav via et live compliance-dashboard (NIS2, DORA, ISO 27001 og 250+ andre frameworks), og fem rapporttyper, fra Executive Summary til Compliance-audit, genereres on-demand på under 60 sekunder. 13 konfigurerbare alarmtyper holder teamet informeret i realtid, og et manipulationssikkert audit trail dokumenterer alt. Du venter ikke til næste planlagte test med at reagere.
Tal der taler for sig selv
NodeZero løste Game of Active Directory (GOAD), et anerkendt pentest-benchmark, på 14 minutter. En erfaren menneskelig pentester bruger 12-16 timer. 50 gange hurtigere, reproducerbart, og uden faktura per engagement.
Den optimale model: kombination
Den optimale model er kontinuerlig automatiseret validering som din primære sikkerhedsmotor:
- Kontinuerlig automatiseret validering (ugentlig/månedlig) som din baseline, fanger konfigurationsdrift, nye CVE’er, glemte konti, scope-ændringer. Det er også en validering af dine sikkerhedsinvesteringer: virker din firewall, EDR og netværkssegmentering faktisk som forventet? Denne tilgang. Continuous Threat Exposure Management (CTEM), erstatter periodiske snapshots med kontinuerlig, valideret indsigt
- Quick Verify efter hver remediering, lukker feedback-loopet
- OCSP compliance-dashboard, live overblik med 5 rapporttyper, kronjuvel-prioritering og realtids-alarmer
Med 52+ automatiserede tests om året har du kontinuerlig synlighed. og dokumentationen til at bevise det.
Næste skridt
Hvis du stadig kun pentester én gang om året, er spørgsmålet ikke om du har huller, det er hvor mange du ikke kender til.
Prøv NodeZero, kør din første autonome pentest på under 4 timer.
Vi hjælper dig med opsætning, gennemgang af resultater og en plan for kontinuerlig validering, der matcher dine NIS2-krav.
Ofte stillede spørgsmål om kontinuerlig penetrationstest
Hvad er kontinuerlig penetrationstest?
Kontinuerlig penetrationstest er en tilgang hvor dine sikkerhedskontroller testes løbende, typisk ugentligt eller månedligt, i stedet for en enkelt gang om året. En autonom platform som NodeZero kører reelle angreb mod din infrastruktur og dokumenterer hele angrebskæden med proof of exploit. Det giver dig et aktuelt billede af din sikkerhed, ikke et forældet snapshot.
Hvad er forskellen på sårbarhedsscanning og penetrationstest?
En sårbarhedsscanner giver dig en liste med potentielle CVE’er sorteret efter CVSS-score, men beviser ikke om de faktisk kan udnyttes. En penetrationstest går videre: den udnytter svagheder, kæder dem sammen, eskalerer privilegier og dokumenterer den faktiske angrebsvej. Det er forskellen på at vide at en dør kan være ulåst, og at se nogen gå ind. Læs mere om automatiseret pentest i 2026.
Hvad koster automatiseret pentest sammenlignet med traditionel?
En traditionel pentest koster typisk 150.000-400.000 kr. per engagement, med begrænset scope og 2-4 ugers ventetid på rapport. Automatiseret pentest med NodeZero kører til en fast årlig pris med ubegrænsede tests, fuld infrastrukturdækning og resultater på timer. Se den fulde prissammenligning her.
Hvad kræver NIS2 af penetrationstest?
NIS2 Artikel 21(f) kræver at virksomheder har procedurer til at vurdere effektiviteten af deres sikkerhedsforanstaltninger. Penetrationstest er den mest direkte metode til at bevise at dine kontroller faktisk virker. Direktivets krav om løbende vurdering peger mod kontinuerlig validering, ikke årlige snapshots. Læs vores komplette NIS2-guide her.
Kan NodeZero køre sikkert i produktionsmiljøer?
Ja. NodeZero er designet til at være production-safe og har kørt over 170.000 tests i produktionsmiljøer uden driftsforstyrrelser. Platformen er agentless, kræver kun en Docker-container eller OVA på netværket, og beviser exploits uden at skade systemer.
Læs også
- Pentest pris: Automatiseret vs. traditionel, hvad koster det?
- NIS2 krav: Din bestyrelse hæfter personligt for cybersikkerhed
- Pen test i 2026: Derfor vælger flere automatiseret pentest
- Automatiseret penetration test, NodeZero sparer tid og penge
- NodeZero i praksis: Sådan kører vi en autonom pentest på under 4 timer
- NIS2-compliance selv: Validér din sikkerhed uden dyre konsulenter
- IT Sikkerhedstest: 5 Metoder til at Validere Din Cybersikkerhed
Læs mere om NodeZero:
Se NodeZero produktside →
OpinioSec er Nordens mest erfarne NodeZero-leverandør og eneste danske Horizon3.ai Guld-partner. Vi kombinerer licens, rådgivning og drift i én samlet løsning. og hjælper virksomheder med at gå fra årlig compliance-checkbox til kontinuerlig sikkerhedsvalidering.