Af Jeppe Lau Hansen, OpinioSec – Marts 2026
150.000 til 400.000 kr. for én pentest. Er det pengene værd?
Det er det spørgsmål, der lander på IT-chefens bord mindst én gang om året. Og svaret er sjældent enkelt.
En traditionel penetrationstest koster typisk mellem 150.000 og 400.000 kr., afhængigt af scope, kompleksitet og konsulentfirma. For den pris får du en specialist, der i 1 til 3 uger forsøger at bryde ind i dine systemer. Derefter venter du 2 til 4 uger på en rapport. Så bruger dit team måneder på at udbedre fundene. Og når du vil verificere, at rettelserne virker? Ny test, ny faktura.
Modellen er forældet. Og med NIS2 er den umulig at forsvare.
Men virkeligheden har ændret sig. Med NIS2 i kraft siden 1. juli 2025, med bøder op til 75 mio. kr. og personligt ledelsesansvar, er “én gang om året” ikke længere nok. Og med automatiserede pentest-platforme som NodeZero er det heller ikke længere nødvendigt.
Denne artikel er et regnestykke. Ikke et salgsoplæg. Vi gennemgår hvad begge tilgange koster, synligt og skjult, og hvornår det giver mening at vælge den ene, den anden, eller begge.
Hvad traditionel pentest koster
Lad os starte med det kendte. En traditionel pentest fra et dansk konsulentfirma ser typisk sådan ud:
Direkte omkostninger:
- Pris per engagement: 150.000 til 400.000 kr. (intern infrastruktur). Webapplikationer: 80.000 til 200.000 kr. per app.
- Varighed: 1 til 3 uger on-site eller remote testing, efterfulgt af 2 til 4 ugers rapportskrivning.
- Scope: Defineret og begrænset på forhånd. Du betaler for et aftalt antal IP-adresser, applikationer eller netværkssegmenter. Alt udenfor scope er usynligt.
- Frekvens: Typisk 1 til 2 gange årligt.
- Gentest: Hvis du vil verificere, at dine rettelser virker, kræver det et nyt engagement. Pris: 30.000 til 80.000 kr. for re-test af fundene.
Samlet årlig omkostning (typisk scenarie):
| Post | Beløb |
|---|---|
| Årlig infrastruktur-pentest | 250.000 kr. |
| Webapp-pentest (2 apps) | 240.000 kr. |
| Gentest efter remediation | 60.000 kr. |
| Total | 550.000 kr. |
For den pris får du 2 til 3 rapporter om året. Rapporter der beskriver, hvordan dine systemer så ud i den specifikke uge, testen blev udført. Ikke ugen efter. Ikke da den nye server blev sat op i marts. Ikke da nogen åbnede en port i august.
Du får et øjebliksbillede. Og i cybersikkerhed ældes øjebliksbilleder hurtigt.
Og så er der dem, der siger: “Vi har jo en sårbarhedsscanner.” Ja. Du har en liste med 3.000 CVE’er sorteret efter CVSS-score. Du har ingen anelse om, hvilke af dem en angriber faktisk kan udnytte, kæde sammen og bruge til at kompromittere jeres Active Directory. En scanner finder potentielle svagheder. NodeZero beviser, hvad en angriber kan gøre med dem, og dokumenterer hvert skridt.
Det egentlige spørgsmål forbliver ubesvaret: Du har brugt millioner på firewall, EDR og IAM, men virker de?
Hvad automatiseret pentest koster
Automatiseret pentest, i dette tilfælde med Horizon3.ai’s NodeZero-platform, er en fundamentalt anderledes model:
Direkte omkostninger:
- Prismodel: Årligt abonnement. Fast pris uanset antal tests.
- Varighed per test: Timer, ikke uger. En fuld intern pentest kører typisk på 4 til 8 timer.
- Scope: Hele infrastrukturen. Intern, ekstern, cloud (AWS/Azure), webapplikationer, Active Directory, alt i samme platform.
- Frekvens: Ubegrænset. Kør ugentligt, dagligt, eller efter hver ændring.
- Gentest: Inkluderet. NodeZero’s “Quick Verify” lader dig genvalidere specifikke fixes uden at køre en fuld test, det er kernen i “Find, Fix, Verify”-tilgangen: find sårbarhederne, fix dem, og verificér at fixet virker.
- Installation: Agentless. En Docker-container eller OVA. Ingen agents på endpoints.
- Production-safe: Med over 170.000 tests kørt sikkert i produktionsmiljøer er platformen designet til at bevise exploits uden at skade systemer.
Samlet årlig omkostning:
| Post | Beløb |
|---|---|
| Årligt abonnement (platform) | Fast pris* |
| Antal tests inkluderet | Ubegrænset |
| Genvalidering af fixes | Inkluderet |
| Ekstern + intern + cloud + AD | Inkluderet |
| Total | Fast årlig pris |
Den konkrete pris afhænger af virksomhedens størrelse og aftale. Kontakt os for et tilbud.
For den pris får du ikke én rapport. Du får en kontinuerlig strøm af validerede fund med angrebsstier, proof-of-exploit, og konkrete fiksvejledninger, tilgængelige i et dashboard i realtid.
Traditionel vs automatiseret pentest
Her er det fulde billede. Brug denne tabel, når du skal præsentere business casen for ledelsen:
| Parameter | Traditionel pentest | Automatiseret pentest (NodeZero) |
|---|---|---|
| Pris per test | 150.000 til 400.000 kr. | Inkluderet i abonnement |
| Årlig totalpris (typisk) | 400.000 til 700.000 kr. | Fast abonnement |
| Antal tests per år | 1 til 2 | Ubegrænset (52+ mulige) |
| Pris per test (effektiv) | 200.000 til 400.000 kr. | Falder med hver test |
| Testens varighed | 1 til 3 uger | 4 til 8 timer |
| Tid til rapport | 2 til 4 uger efter test | Real-time (under testen) |
| Total tid fra start til handlingsbar indsigt | 3 til 7 uger | Same-day |
| Scope per test | Begrænset (aftalt forud) | Fuld infrastruktur |
| Intern infrastruktur | ✅ (separat scope) | ✅ Inkluderet |
| Ekstern angrebsflade | ✅ (separat scope) | ✅ Inkluderet |
| Cloud (AWS/Azure) | ❌ Ofte separat engagement | ✅ Inkluderet |
| Webapplikationer | ❌ Separat test og pris | ✅ Inkluderet |
| Active Directory audit | ❌ Separat test | ✅ Inkluderet |
| Genvalidering af fixes | 30.000 til 80.000 kr. per gang | ✅ Quick Verify inkluderet |
| Angrebssti-visualisering | Sjældent (PDF-rapport) | ✅ Interaktivt dashboard |
| Proof of exploit | Varierer | ✅ Dokumenteret per fund |
| Konsistens | Afhænger af tester | Reproducerbart, identisk metodik |
| Skalerbarhed | Lineær pris per scope | Flad pris, alle scopes |
| Compliance-dokumentation | 1 til 2 rapporter/år | Kontinuerlig audit trail |
| NIS2 Art. 21(f) dækning | Punktvis | Løbende effektivitetsvurdering |
| Phishing impact test | ❌ Separat engagement | ✅ Inkluderet |
| AD Password Audit | ❌ Separat engagement | ✅ Inkluderet |
| Cloud (AWS/Azure) pivoting | ❌ Sjældent testet | ✅ Automatisk |
Vil du se hvad en angriber ser i jeres netværk?
NodeZero kører en fuld pentest på under 4 timer. Ingen agents, ingen forpligtelser.
De skjulte omkostninger ved traditionel pentest
Prisen på fakturaen er kun en del af regnestykket. De reelle omkostninger gemmer sig i alt det, der sker mellem og omkring testene:
1. Ventetid på rapport
Du bestiller en pentest i uge 10. Testen kører i uge 14 til 16. Rapporten lander i uge 20. Dine udviklere begynder at kigge på den i uge 22. Det er tre måneder fra beslutning til handling. I de tre måneder har en angriber adgang til de samme sårbarheder, som testeren fandt.
2. Re-engagement for gentest
Du har fikset de kritiske fund. Men virker rettelserne? Den eneste måde at vide det på er at bestille en ny test, eller i bedste fald en re-test af de specifikke fund. Det koster 30.000 til 80.000 kr. og tager 2 til 4 uger at planlægge. Mange virksomheder springer dette skridt over. Fundene bliver “lukket” i et Excel-ark uden verifikation.
3. Begrænset scope = falsk tryghed
En pentest der kun dækker 50 IP-adresser i et netværk med 500, giver dig ikke et billede af din sikkerhed. Den giver dig et billede af 10% af din sikkerhed. De resterende 90% er ukendt territorium, for dig. Ikke for en angriber.
4. Tidspunktet er altid forkert
Du tester i marts. I april ruller dit team en ny applikation ud. I juni migrerer I en workload til Azure. I september skifter I VPN-løsning. Ingen af disse ændringer er dækket af marts-testen. Du flyver blindt 10 til 11 måneder om året.
5. Intern koordineringsomkostning
Traditionel pentest kræver betydelig intern koordinering: scope-afklaring, adgangsopsætning, kontaktpersoner, møder under testen, rapportgennemgang, prioritering af fund, allokering af udviklertimer til remediation. Konservativt estimat: 40 til 80 interne timer per engagement.
Samlet skjult omkostning per år:
| Post | Estimat |
|---|---|
| Intern koordinering (60 timer × 500 kr.) | 30.000 kr. |
| Forsinkelse fra rapport til handling (risiko-eksponering) | Svær at prissætte, se ROI-beregning |
| Gentest der springes over | Ukendt risiko |
| Ændringer mellem tests (udækket) | Ukendt risiko |
| Synlig + skjult totalpris | 600.000 til 800.000+ kr. |
ROI-beregning: Hvad koster det IKKE at penteste?
Her er det egentlige spørgsmål. Pentest er ikke en omkostning, det er en forsikring. Og som enhver forsikring skal den vurderes mod det, den beskytter imod.
Gennemsnitlig omkostning ved et databrud
IBM’s Cost of a Data Breach Report 2024 sætter den gennemsnitlige globale omkostning ved et databrud til $4,88 mio. (ca. 34 mio. kr.). For europæiske virksomheder er tallet lavere, men stadig betydeligt, typisk 15 til 25 mio. kr. for en mellemstor virksomhed.
NIS2-bøder
- Væsentlige enheder: Op til €10 mio. eller 2% af global årsomsætning
- Vigtige enheder: Op til €7 mio. eller 1,4% af global årsomsætning
- I dansk kontekst: op til 75 mio. kr.
- Dertil kommer: personligt ledelsesansvar, mulig suspension af services, offentliggørelse
Nedetid
Gennemsnitlig nedetid efter et ransomware-angreb: 22 dage (Coveware, 2024). For en virksomhed med 100 mio. kr. i årlig omsætning er det:
- 22 dage × 274.000 kr./dag = ca. 6 mio. kr. i tabt omsætning
- Plus: genopretning, krisekommunikation, juridisk bistand, tab af kundetillid
Det simple regnestykke
| Scenarie | Omkostning |
|---|---|
| Automatiseret pentest (årligt) | Fast abonnement |
| Ét succesfuldt ransomware-angreb | 10 til 40 mio. kr. |
| NIS2-bøde (manglende compliance) | Op til 75 mio. kr. |
| Kombineret breach + bøde + nedetid | 25 til 100+ mio. kr. |
Spørgsmålet er ikke, om du har råd til at teste. Spørgsmålet er, om du har råd til at lade være.
Og her er en detalje, der ofte overses i regnestykket: med den rigtige platform får du ikke bare pentest-resultater, du får compliance-rapporter inkluderet. Med OpinioSec Compliance & Security Portal (OCSP) mappes fund automatisk mod dine kontrolkrav via et live compliance-dashboard. NIS2, ISO 27001, DORA og 250+ andre frameworks. Fem rapporttyper (Pentest-historik, Sikkerhedsposition, Kronjuvel-eksponering, Compliance-audit, Executive Summary) genereres on-demand på under 60 sekunder som PDF eller Excel. Du slipper for den separate konsulentydelse til compliance-dokumentation. Én platform, der både validerer din sikkerhed og leverer auditerbar dokumentation.
NIS2 Artikel 21(f): kravet du ikke kan ignorere
NIS2 kræver specifikt, at virksomheder har “politikker og procedurer til at vurdere effektiviteten af cybersikkerhedsforanstaltninger”. Det er Artikel 21, stk. 2, litra (f).
Hvordan beviser du, at dine sikkerhedsforanstaltninger virker? Du kan skrive politikker. Du kan lave audits. Men den mest direkte og troværdige metode er at lade nogen, eller noget, forsøge at bryde igennem dem.
Én årlig pentest opfylder minimumskravet. Kontinuerlig automatiseret pentest dokumenterer løbende, at dine kontroller virker. Forskellen er afgørende, hvis tilsynsmyndigheden banker på døren efter en hændelse.
Hvorfor skiftet til automatiseret pentest er uundgåeligt
Den optimale model for de fleste virksomheder:
| Før (traditionel) | Nu (NodeZero + OCSP) |
|---|---|
| 1-2 årlige pentests á 150-400K kr. | Ugentlige/månedlige tests til ubegrænset |
| PDF-rapport 3 uger efter test | Real-time dashboard + 5 rapporttyper på 60 sek |
| Gentest = ny faktura | Quick Verify inkluderet |
| 345+ dage i blinde | Kontinuerlig synlighed |
| Separat compliance-konsulent | OCSP: live compliance-dashboard, 250+ frameworks |
Dér hvor du før brugte 400.000-700.000 kr. årligt på periodiske konsulentengagements og stadig fløj blindt det meste af året, får du nu kontinuerlig validering, compliance-dokumentation og realtids-alarmer i én samlet løsning.
Opsummering: Pentest pris
| Traditionel (alene) | Automatiseret (alene) | Kombineret | |
|---|---|---|---|
| Årlig investering | 500.000 til 800.000 kr. | Fast abonnement | Abonnement + 150.000 til 250.000 kr. |
| Antal tests/år | 1 til 2 | 52+ | 52+ auto + 1 manuel |
| Dage med aktuel indsigt | 10 til 20 | 365 | 365 |
| Dage “i blinde” | 345 til 355 | 0 | 0 |
| Fix-verifikation | Ekstra betaling | Inkluderet | Inkluderet |
| NIS2 Art. 21(f) | Minimum | Stærk | Optimal |
| Risiko-eksponering | Høj | Lav | Lavest |
345 dage i blinde. Det er prisen for at nøjes med traditionel pentest alene.
Næste skridt
Du behøver ikke tage vores ord for det. NodeZero kan vise dig, hvad en angriber ser i jeres netværk, på timer, ikke uger.
Book en gratis demo og se hvad NodeZero finder i jeres infrastruktur. Ingen forpligtelser. Ingen agents. Ingen overraskelser, ud over dem, NodeZero finder for jer.
Eller ring til os på +45 77 34 56 40, vi taler gerne tal, ROI og NIS2-compliance.
Ofte stillede spørgsmål om pentest-priser
Hvad koster en penetrationstest i Danmark?
En traditionel pentest koster typisk 150.000-400.000 kr. per engagement for intern infrastruktur. Webapplikationer koster 80.000-200.000 kr. per app. Med gentest og koordinering ender den samlede årlige omkostning ofte på 550.000-800.000 kr.
Hvad er forskellen på automatiseret og traditionel pentest?
Traditionel pentest er et manuelt konsulentforløb med begrænset scope og 1-2 tests om året. Automatiseret pentest med NodeZero kører ubegrænsede tests til en fast årlig pris, dækker hele infrastrukturen, og leverer resultater på timer i stedet for uger. Læs mere om kontinuerlig pentest.
Er automatiseret pentest lige så grundig som manuel?
NodeZero kører som en autonom angriber: den finder sårbarheder, udnytter dem, eskalerer privilegier og dokumenterer hele angrebskæden med proof of exploit. Den løste Game of Active Directory-benchmarket på 14 minutter, hvor en erfaren pentester bruger 12-16 timer.
Kræver NIS2 penetrationstest?
NIS2 kræver specifikt at du vurderer effektiviteten af dine sikkerhedsforanstaltninger (Artikel 21f). Pentest er den mest anerkendte metode til dette. Læs vores komplette NIS2-guide.
Læs også
- Kontinuerlig penetrationstest: Hvorfor årlig pentest ikke er nok
- NIS2 krav: Personligt ansvar for bestyrelsen
- Se NodeZero produktside →
- NodeZero i praksis: Sådan kører vi en autonom pentest på under 4 timer
- NIS2-compliance selv: Validér din sikkerhed uden dyre konsulenter
- IT Sikkerhedstest: 5 Metoder til at Validere Din Cybersikkerhed
OpinioSec er Nordens mest erfarne NodeZero-leverandør og eneste danske Horizon3.ai Guld-partner. Vi kombinerer licens, rådgivning og drift i én samlet løsning. og hjælper virksomheder med at bevise, at deres sikkerhed virker, ikke bare at den eksisterer.