Pentest pris varierar enormt – från 150.000 till 400.000 kr för traditionell pentest, till fasta årspriser med obegränsade tester via automatiserad pentest. Här jämför vi kostnaderna.
150.000 till 400.000 kr för en pentest. Är det pengarna värt?
Frågan om pentest pris landar på IT-chefens bord minst en gång om året. Och svaret är sällan enkelt.
En traditionell penetrationstest kostar typiskt mellan 150.000 och 400.000 kr, beroende på scope, komplexitet och konsultföretag. För det priset får ni en specialist som under 1 till 3 veckor försöker bryta sig in i era system. Därefter väntar ni 2 till 4 veckor på en rapport. Sedan använder ert team månader för att åtgärda fynden. Och när ni vill verifiera att rättelserna fungerar? Nytt test, ny faktura.
Modellen är föråldrad. Och med NIS2 är den omöjlig att försvara.
Men verkligheten har förändrats. Med NIS2 i kraft sedan 1 juli 2025, med böter upp till 75 miljoner kr och personligt ledningsansvar, är ”en gång om året” inte längre nog. Och med automatiserade pentest-plattformar som NodeZero är det inte heller längre nödvändigt.
Den här artikeln är en kalkyl. Inte ett säljpresentationer. Vi går igenom vad båda tillvägagångssätten kostar, synligt och dolt, och när det ger mening att välja det ena, det andra, eller båda.
Pentest pris: Vad traditionell pentest kostar
Låt oss börja med det kända. En traditionell pentest från ett svenskt konsultföretag ser typiskt ut så här:
Direkta kostnader:
- Pris per engagement: 150.000 till 400.000 kr (intern infrastruktur). Webbapplikationer: 80.000 till 200.000 kr per app.
- Varaktighet: 1 till 3 veckors on-site eller remote-testning, följt av 2 till 4 veckors rapportskrivning.
- Scope: Definierat och begränsat i förväg. Ni betalar för ett avtalat antal IP-adresser, applikationer eller nätverkssegment. Allt utanför scope är osynligt.
- Frekvens: Typiskt 1 till 2 gånger årligen.
- Omtest: Om ni vill verifiera att era rättelser fungerar krävs ett nytt engagement. Pris: 30.000 till 80.000 kr för re-test av fynden.
Sammanlagd årlig kostnad (typiskt scenario):
| Post | Belopp |
|---|---|
| Årlig infrastruktur-pentest | 250.000 kr |
| Webapp-pentest (2 appar) | 240.000 kr |
| Omtest efter remediation | 60.000 kr |
| Totalt | 550.000 kr |
För det priset får ni 2 till 3 rapporter om året. Rapporter som beskriver hur era system såg ut den specifika veckan då testet genomfördes. Inte veckan efter. Inte när den nya servern sattes upp i mars. Inte när någon öppnade en port i augusti.
Ni får en ögonblicksbild. Och inom cybersäkerhet åldras ögonblicksbilder snabbt.
Och så finns det de som säger: ”Vi har ju en sårbarhetsskanner.” Ja. Ni har en lista med 3.000 CVE:er sorterade efter CVSS-poäng. Ni har ingen aning om vilka av dem en angripare faktiskt kan utnyttja, kedja samman och använda för att kompromittera ert Active Directory. En skanner hittar potentiella svagheter. NodeZero bevisar vad en angripare kan göra med dem och dokumenterar varje steg.
Den egentliga frågan förblir obesvarad: Ni har spenderat miljoner på brandvägg, EDR och IAM, men fungerar de?
Pentest pris: Vad automatiserad pentest kostar
Automatiserad pentest, i det här fallet med Horizon3.ai:s NodeZero-plattform, är en fundamentalt annorlunda modell:
Direkta kostnader:
- Prismodell: Årligt abonnemang. Fast pris oavsett antal tester.
- Varaktighet per test: Timmar, inte veckor. En fullständig intern pentest körs typiskt på 4 till 8 timmar.
- Scope: Hela infrastrukturen. Intern, extern, molntjänster (AWS/Azure), webbapplikationer, Active Directory, allt i samma plattform.
- Frekvens: Obegränsat. Kör veckovis, dagligen, eller efter varje förändring.
- Omtest: Inkluderat. NodeZeros ”Quick Verify” låter er omvalidera specifika fixes utan att köra en fullständig test, det är kärnan i ”Find, Fix, Verify”-ansatsen: hitta sårbarheterna, fixa dem, och verifiera att fixet fungerar.
- Installation: Agentless. En Docker-container eller OVA. Inga agenter på slutpunkter.
- Production-safe: Med över 170.000 tester körda säkert i produktionsmiljöer är plattformen designad för att bevisa exploits utan att skada system.
Sammanlagd årlig kostnad:
| Post | Belopp |
|---|---|
| Årligt abonnemang (plattform) | Fast pris* |
| Antal tester inkluderat | Obegränsat |
| Omvalidering av fixes | Inkluderat |
| Extern + intern + molntjänster + AD | Inkluderat |
| Totalt | Fast årlig pris |
Det konkreta priset beror på företagets storlek och avtal. Kontakta oss för en offert.
För det priset får ni inte en rapport. Ni får en kontinuerlig ström av validerade fynd med angreppsvägar, proof-of-exploit och konkreta fixvägledningar, tillgängliga i en dashboard i realtid.
Traditionell vs automatiserad pentest
Här är den fullständiga bilden. Använd denna tabell när ni ska presentera business casen för ledningen:
| Parameter | Traditionell pentest | Automatiserad pentest (NodeZero) |
|---|---|---|
| Pris per test | 150.000 till 400.000 kr | Inkluderat i abonnemang |
| Årligt totalpris (typiskt) | 400.000 till 700.000 kr | Fast abonnemang |
| Antal tester per år | 1 till 2 | Obegränsat (52+ möjliga) |
| Pris per test (effektivt) | 200.000 till 400.000 kr | Sjunker med varje test |
| Testets varaktighet | 1 till 3 veckor | 4 till 8 timmar |
| Tid till rapport | 2 till 4 veckor efter test | Realtid (under testet) |
| Total tid från start till handlingsbar insikt | 3 till 7 veckor | Same-day |
| Scope per test | Begränsat (avtalat i förväg) | Full infrastruktur |
| Intern infrastruktur | ✅ (separat scope) | ✅ Inkluderat |
| Extern angreppsyta | ✅ (separat scope) | ✅ Inkluderat |
| Molntjänster (AWS/Azure) | ❌ Ofta separat engagement | ✅ Inkluderat |
| Webbapplikationer | ❌ Separat test och pris | ✅ Inkluderat |
| Active Directory-audit | ❌ Separat test | ✅ Inkluderat |
| Omvalidering av fixes | 30.000 till 80.000 kr per gång | ✅ Quick Verify inkluderat |
| Angreppsvägs-visualisering | Sällan (PDF-rapport) | ✅ Interaktiv dashboard |
| Proof of exploit | Varierar | ✅ Dokumenterat per fynd |
| Konsistens | Beror på testare | Reproducerbart, identisk metodik |
| Skalbarhet | Linjär pris per scope | Platt pris, alla scopes |
| Compliance-dokumentation | 1 till 2 rapporter/år | Kontinuerlig audit trail |
| NIS2 Art. 21(f) täckning | Punktvis | Löpande effektivitetsbedömning |
| Phishing impact test | ❌ Separat engagement | ✅ Inkluderat |
| AD Password Audit | ❌ Separat engagement | ✅ Inkluderat |
| Molnpivotrisering (AWS/Azure) | ❌ Sällan testat | ✅ Automatiskt |
Vill ni se vad en angripare ser i ert nätverk?
NodeZero kör en fullständig pentest på under 4 timmar. Inga agenter, inga förpliktelser.
De dolda kostnaderna för traditionell pentest
Priset på fakturan är bara en del av kalkylen. De verkliga kostnaderna gömmer sig i allt som händer mellan och omkring testerna:
1. Väntetid på rapport
Ni beställer en pentest i vecka 10. Testet körs i vecka 14 till 16. Rapporten landar i vecka 20. Era utvecklare börjar titta på den i vecka 22. Det är tre månader från beslut till handling. Under de tre månaderna har en angripare åtkomst till samma sårbarheter som testaren hittade.
2. Re-engagement för omtest
Ni har fixat de kritiska fynden. Men fungerar rättelserna? Det enda sättet att veta det på är att beställa ett nytt test, eller i bästa fall en re-test av de specifika fynden. Det kostar 30.000 till 80.000 kr och tar 2 till 4 veckor att planera. Många företag hoppar över detta steg. Fynden blir ”stängda” i ett Excel-ark utan verifiering.
3. Begränsat scope = falsk trygghet
En pentest som bara täcker 50 IP-adresser i ett nätverk med 500 ger er inte en bild av er säkerhet. Den ger er en bild av 10% av er säkerhet. De återstående 90% är okänt territorium för er. Inte för en angripare.
4. Tidpunkten är alltid fel
Ni testar i mars. I april rullar ert team ut en ny applikation. I juni migrerar ni en workload till Azure. I september byter ni VPN-lösning. Ingen av dessa förändringar täcks av mars-testet. Ni flyger blint 10 till 11 månader om året.
5. Intern koordineringskostnad
Traditionell pentest kräver betydande intern koordinering: scope-klarläggning, åtkomstuppsättning, kontaktpersoner, möten under testet, rapportgenomgång, prioritering av fynd, allokering av utvecklartimmar till remediation. Konservativ uppskattning: 40 till 80 interna timmar per engagement.
Sammanlagd dold kostnad per år:
| Post | Uppskattning |
|---|---|
| Intern koordinering (60 timmar × 500 kr) | 30.000 kr |
| Försening från rapport till handling (riskexponering) | Svårt att prissätta, se ROI-beräkning |
| Omtest som hoppas över | Okänd risk |
| Förändringar mellan tester (otäckt) | Okänd risk |
| Synligt + dolt totalpris | 600.000 till 800.000+ kr |
ROI-beräkning: Pentest pris vs. kostnaden att INTE testa
Här är den egentliga frågan. Pentest är inte en kostnad, det är en försäkring. Och som vilken försäkring som helst ska den bedömas mot vad den skyddar mot.
Genomsnittlig kostnad för ett databrott
IBMs Cost of a Data Breach Report 2024 sätter den genomsnittliga globala kostnaden för ett databrott till $4,88 miljoner (ca. 34 miljoner kr). För europeiska företag är siffran lägre, men fortfarande betydlig, typiskt 15 till 25 miljoner kr för ett medelstort företag.
NIS2-böter
- Väsentliga enheter: Upp till €10 miljoner eller 2% av global årsomsättning
- Viktiga enheter: Upp till €7 miljoner eller 1,4% av global årsomsättning
- I svensk kontext: upp till 75 miljoner kr
- Därtill kommer: personligt ledningsansvar, möjlig suspension av tjänster, offentliggörande
Stillestånd
Genomsnittligt stillestånd efter en ransomware-attack: 22 dagar (Coveware, 2024). För ett företag med 100 miljoner kr i årlig omsättning är det:
- 22 dagar × 274.000 kr/dag = ca. 6 miljoner kr i förlorad omsättning
- Plus: återställning, kriskommunikation, juridiskt bistånd, förlorat kundförtroende
Den enkla kalkylen
| Scenario | Kostnad |
|---|---|
| Automatiserad pentest (årligen) | Fast abonnemang |
| En framgångsrik ransomware-attack | 10 till 40 miljoner kr |
| NIS2-böter (bristande compliance) | Upp till 75 miljoner kr |
| Kombinerat brott + böter + stillestånd | 25 till 100+ miljoner kr |
Frågan är inte om ni har råd att testa. Frågan är om ni har råd att låta bli.
Och här är en detalj som ofta förbises i kalkylen: med rätt plattform får ni inte bara pentest-resultat, ni får compliance-rapporter inkluderat. Med OpinioSec Compliance & Security Portal (OCSP) mappas fynd automatiskt till era kontrollkrav via en live compliance-dashboard. NIS2, ISO 27001, DORA och 250+ andra ramverk. Fem rapporttyper (Pentest-historik, Säkerhetsposition, Kronjuvelsexponering, Compliance-audit, Executive Summary) genereras on-demand på under 60 sekunder som PDF eller Excel. Ni slipper den separata konsulttjänsten för compliance-dokumentation. En plattform som både validerar er säkerhet och levererar auditerbar dokumentation.
NIS2 Artikel 21(f): kravet ni inte kan ignorera
NIS2 kräver specifikt att företag har ”policyer och procedurer för att bedöma effektiviteten hos cybersäkerhetsåtgärder”. Det är Artikel 21, stk. 2, litra (f).
Hur bevisar ni att era säkerhetsåtgärder fungerar? Ni kan skriva policyer. Ni kan göra audits. Men den mest direkta och trovärdiga metoden är att låta någon, eller något, försöka bryta igenom dem.
En årlig pentest uppfyller minimikravet. Kontinuerlig automatiserad pentest dokumenterar löpande att era kontroller fungerar. Skillnaden är avgörande om tillsynsmyndigheten knackar på dörren efter en incident.
Varför pentest pris driver skiftet till automatisering
Den optimala modellen för de flesta företag:
| Före (traditionell) | Nu (NodeZero + OCSP) |
|---|---|
| 1-2 årliga pentester á 150-400K kr | Veckovisa/månatliga tester till obegränsat |
| PDF-rapport 3 veckor efter test | Realtids-dashboard + 5 rapporttyper på 60 sek |
| Omtest = ny faktura | Quick Verify inkluderat |
| 345+ dagar i blindo | Kontinuerlig synlighet |
| Separat compliance-konsult | OCSP: live compliance-dashboard, 250+ ramverk |
Där ni tidigare använde 400.000-700.000 kr årligen på periodiska konsultuppdrag och fortfarande flög blint större delen av året, får ni nu kontinuerlig validering, compliance-dokumentation och realtidslarm i en samlad lösning.
Sammanfattning: Pentest pris
| Traditionell (ensam) | Automatiserad (ensam) | Kombinerad | |
|---|---|---|---|
| Årlig investering | 500.000 till 800.000 kr | Fast abonnemang | Abonnemang + 150.000 till 250.000 kr |
| Antal tester/år | 1 till 2 | 52+ | 52+ auto + 1 manuell |
| Dagar med aktuell insikt | 10 till 20 | 365 | 365 |
| Dagar ”i blindo” | 345 till 355 | 0 | 0 |
| Fix-verifiering | Extra betalning | Inkluderat | Inkluderat |
| NIS2 Art. 21(f) | Minimum | Stark | Optimal |
| Riskexponering | Hög | Låg | Lägst |
345 dagar i blindo. Det är priset för att nöja sig med enbart traditionell pentest.
Nästa steg: Hitta rätt pentest pris för er
Ni behöver inte ta vårt ord för det. NodeZero kan visa er vad en angripare ser i ert nätverk, på timmar, inte veckor.
Boka en gratis demo och se vad NodeZero hittar i er infrastruktur. Inga förpliktelser. Inga agenter. Inga överraskningar, förutom dem som NodeZero hittar åt er.
Eller ring oss på +45 77 34 56 40, vi pratar gärna siffror, ROI och NIS2-compliance.
Vanliga frågor om pentest pris
Vad kostar en penetrationstest i Sverige?
En traditionell pentest kostar typiskt 150.000-400.000 kr per engagement för intern infrastruktur. Webbapplikationer kostar 80.000-200.000 kr per app. Med omtest och koordinering slutar den sammanlagda årliga kostnaden ofta på 550.000-800.000 kr.
Vad är skillnaden på automatiserad och traditionell pentest?
Traditionell pentest är ett manuellt konsultförlopp med begränsat scope och 1-2 tester om året. Automatiserad pentest med NodeZero kör obegränsade tester till ett fast årligt pris, täcker hela infrastrukturen och levererar resultat på timmar istället för veckor. Läs mer om kontinuerlig pentest.
Är automatiserad pentest lika grundlig som manuell?
NodeZero kör som en autonom angripare: den hittar sårbarheter, utnyttjar dem, eskalerar privilegier och dokumenterar hela angreppskedjan med proof of exploit. Den löste Game of Active Directory-benchmark på 14 minuter, medan en erfaren pentester tar 12-16 timmar.
Kräver NIS2 penetrationstest?
NIS2 kräver specifikt att ni bedömer effektiviteten hos era säkerhetsåtgärder (Artikel 21f). Pentest är den mest erkända metoden för detta. Läs vår kompletta NIS2-guide.
Läs också
- Kontinuerlig penetrationstest: Varför årlig pentest inte räcker
- NIS2 krav: Personligt ansvar för styrelsen
- Se NodeZero produktsida →
- NodeZero i praktiken: Så kör vi en autonom pentest på under 4 timmar
- NIS2-compliance själv: Validera er säkerhet utan dyra konsulter
- IT Säkerhetstest: 5 Metoder för att Validera Er Cybersäkerhet
OpinioSec är Nordens mest erfarna NodeZero-leverantör och enda svenska Horizon3.ai Guldpartner. Vi kombinerar licens, rådgivning och drift i en sammansatt lösning och hjälper företag att bevisa att deras säkerhet fungerar, inte bara att den existerar.
