Hvordan ved du, om din IT sikkerhedstest faktisk fanger de rigtige trusler? I denne artikel gennemgår vi fem metoder til at validere din cybersikkerhed, fra simpel sårbarhedsscanning til avanceret red teaming, og hjælper dig med at vælge den rigtige tilgang for din organisation.
Hvorfor IT sikkerhedstest er vigtigere end nogensinde
Danske virksomheder investerer millioner i firewalls, EDR, MFA og sikkerhedspolitikker. Men investeringen er kun halvdelen. Den anden halvdel er at bevise, at det hele faktisk virker.
Med NIS2 i kraft siden juli 2025 er det ikke længere valgfrit. Artikel 21(f) kræver eksplicit, at organisationer har procedurer til at vurdere effektiviteten af deres sikkerhedsforanstaltninger. Med andre ord: du skal teste.
Men “test” kan betyde mange ting. En sårbarhedsscanning er ikke det samme som en penetrationstest, og en penetrationstest er ikke det samme som et red team-engagement. Prisen varierer fra få tusinde til flere hundrede tusinde kroner, og værdien afhænger af, hvad du faktisk har brug for.
Her er de fem mest udbredte metoder, hvad de koster, hvad de finder, og hvornår du bør bruge dem.
IT sikkerhedstest metode 1: Sårbarhedsscanning
Hvad er en IT sikkerhedstest med sårbarhedsscanning?
En sårbarhedsscanner (Qualys, Tenable, Nessus, OpenVAS) gennemgår dine systemer og matcher dem mod en database af kendte sårbarheder (CVE’er). Resultatet er en liste sorteret efter CVSS-score, typisk med hundredvis eller tusindvis af fund.
Det er den mest basale form for IT sikkerhedstest. Scanneren fortæller dig, at en sårbarhed eksisterer, men den beviser ikke, om den kan udnyttes. Den fortæller dig heller ikke, hvordan flere svagheder kan kædes sammen til et reelt angreb.
Fordele
- Hurtig og billig at køre (minutter til timer)
- Kan automatiseres og scheduleres dagligt
- Godt overblik over manglende patches
- Opfylder basale compliance-krav
Begrænsninger
- Høj andel false positives (op til 30-40%)
- Ingen kontekst: en “kritisk” CVE på en isoleret testserver er ikke det samme som på dit ERP-system
- Beviser ikke, at sårbarheder faktisk kan udnyttes
- Finder ikke logiske fejl, misconfiguration-kæder eller svage passwords
Pris
5.000-30.000 kr./år for et SaaS-abonnement, afhængigt af antal assets. Open source-alternativer som OpenVAS er gratis.
Hvornår du bør bruge det
Altid. Sårbarhedsscanning er baseline-hygiejne. Men det er ikke nok i sig selv til at opfylde NIS2’s krav om effektivitetsvurdering, og det bør aldrig stå alene som din IT sikkerhedstest.
IT sikkerhedstest metode 2: Automatiseret penetrationstest
Hvad er automatiseret IT sikkerhedstest?
Automatiseret penetrationstest tager sårbarhedsscanning et afgørende skridt videre: platformen udnytter de fundne svagheder, kæder dem sammen til angrebskæder og beviser, at de kan bruges til at kompromittere dine systemer.
Platforme som NodeZero fra Horizon3.ai kører autonomt, uden scripts og uden foruddefinerede playbooks. NodeZero starter som en rigtig angriber, fra nul, og arbejder sig systematisk ind i din infrastruktur. Hver test dokumenteres med proof of exploit og detaljeret fix guidance.
Vil du se automatiseret pentest i aktion?
Book en gratis NodeZero-demo og se hvad platformen finder i jeres netværk.
Fordele
- Beviser at sårbarheder kan udnyttes (proof of exploit)
- Kæder svagheder sammen til realistiske angrebsstier
- Kan køres ubegrænset til fast pris
- Resultater på timer, ikke uger
- Production-safe: over 170.000 tests uden driftsforstyrrelser
- Quick Verify: gentest specifikke fixes på minutter
Begrænsninger
- Fokuserer primært på netværk, AD og infrastruktur
- Erstatter ikke specialiseret applikationssikkerhedstest
- Kræver en Docker-host eller OVA i netværket
Pris
Fast årligt abonnement med ubegrænsede tests. Typisk en brøkdel af prisen for en enkelt traditionel pentest. Se den fulde prissammenligning her.
Hvornår du bør bruge det
Når du vil have kontinuerlig validering af din sikkerhed, ikke bare et årligt snapshot. Automatiseret pentest er den mest effektive måde at opfylde NIS2 Artikel 21(f) på, fordi du kan dokumentere løbende, at dine kontroller virker. Se hvordan en NodeZero pentest fungerer i praksis.
IT sikkerhedstest metode 3: Traditionel (manuel) penetrationstest
Den klassiske IT sikkerhedstest
En traditionel penetrationstest udføres af en eller flere sikkerhedskonsulenter, der manuelt angriber dine systemer over en periode på typisk 1-3 uger. Konsulenten bruger en kombination af automatiserede værktøjer og manuelle teknikker til at finde og udnytte sårbarheder.
Resultatet er en rapport med fund, risikovurdering og anbefalinger, typisk leveret 2-4 uger efter testens afslutning.
Fordele
- Menneskelig kreativitet: en erfaren pentester kan finde logiske fejl og forretningslogik-sårbarheder, som automatiserede tools overser
- Kan tilpasses specifikke scenarier og risikoprofiler
- Anerkendt af compliance-regimer og revisorer
- Kan inkludere social engineering og fysisk sikkerhedstest
Begrænsninger
- Dyr: 150.000-400.000 kr. per engagement
- Langsom: 3-7 uger fra start til rapport
- Begrænset scope: budget og tid afgør, hvad der testes
- Point-in-time: rapporten er forældet, inden den er leveret
- Kvalitet afhænger af den enkelte konsulent
- Fix-verifikation kræver nyt engagement (og ny faktura)
Pris
150.000-400.000 kr. per engagement for en intern pentest. Ekstern pentest typisk 80.000-200.000 kr. Webapp-pentest 100.000-300.000 kr.
Hvornår du bør bruge det
Når du har behov for specialiseret test af applikationssikkerhed, social engineering eller fysisk sikkerhed. Eller når compliance specifikt kræver en uafhængig tredjepartstest. For ren netværks- og infrastrukturtest er automatiseret pentest mere effektiv og økonomisk. Læs mere om kontinuerlig vs. årlig pentest.
IT sikkerhedstest metode 4: Red teaming
Den ultimative IT sikkerhedstest
Red teaming er den mest avancerede form for sikkerhedstest. Et red team simulerer et realistisk, målrettet angreb mod din organisation over en længere periode, typisk 4-12 uger. Målet er ikke at finde flest mulige sårbarheder, men at teste din organisations samlede forsvarsevne: teknologi, processer og mennesker.
Red teamet arbejder i stealth-mode. De bruger social engineering, phishing, fysisk indtrængning og tekniske angreb i kombination. Dit blue team (SOC/IT-sikkerhed) ved typisk ikke, at testen foregår, hvilket giver et realistisk billede af, hvordan I reagerer på et rigtigt angreb.
Fordele
- Tester hele organisationen, ikke bare teknologien
- Realistisk simulering af avancerede trusler (APT)
- Afslører gaps i detection og incident response
- Ekstremt lærerigt for blue team
Begrænsninger
- Meget dyrt: 300.000-1.000.000+ kr.
- Kræver en moden sikkerhedsorganisation for at få værdi
- Langt engagement (4-12 uger)
- Begrænset antal kvalificerede red teams i Danmark
- Overkill for de fleste mellemstore virksomheder
Pris
300.000-1.000.000+ kr. afhængigt af scope, varighed og teamstørrelse.
Hvornår du bør bruge det
Når du har en moden sikkerhedsorganisation med SOC/SIEM, etablerede incident response-processer og allerede kører regelmæssige penetrationstests. Red teaming er toppen af pyramiden, ikke startpunktet.
IT sikkerhedstest metode 5: Security audit og compliance-gennemgang
IT sikkerhedstest med fokus på processer
En security audit er en systematisk gennemgang af din organisations sikkerhedspolitikker, processer og kontroller mod et framework som CIS 18, ISO 27001, NIST CSF eller NIS2. Fokus er på, om de rigtige processer er på plads, om de følges, og om de er dokumenteret.
En audit er ikke en teknisk test. Den spørger ikke “kan en angriber komme ind?” men “har I en politik for adgangskontrol, og følges den?” Begge spørgsmål er vigtige, men de besvarer forskellige ting.
Fordele
- Systematisk overblik over sikkerhedsmodenheden
- Identificerer procesmangler, ikke bare tekniske huller
- Nødvendig for certificering (ISO 27001, ISAE 3402)
- God baseline for at prioritere investeringer
Begrænsninger
- Beviser ikke, at kontroller faktisk virker teknisk
- Kan give falsk tryghed: “vi har en politik” er ikke “vi er sikre”
- Dyr ekstern revision: 100.000-300.000 kr.
- Point-in-time: gælder kun på audittidspunktet
Pris
Intern audit: 0 kr. (din egen tid). Ekstern revision: 100.000-300.000 kr. ISO 27001-certificering: 150.000-500.000 kr. totalt.
Hvornår du bør bruge det
Som fundament. Enhver sikkerhedsstrategi bør starte med en gap-analyse mod et anerkendt framework. Læs vores guide til at køre din egen NIS2-compliance validering.
Sammenligning: Hvilken IT sikkerhedstest passer til dig?
Her er de fem metoder sammenlignet:
| Metode | Pris | Frekvens | Beviser udnyttelse? | NIS2 Art. 21(f)? |
|---|---|---|---|---|
| Sårbarhedsscanning | 5-30K/år | Dagligt | Nej | Delvist |
| Automatiseret pentest | Fast abonnement | Ubegrænset | Ja ✓ | Ja ✓ |
| Traditionel pentest | 150-400K/gang | 1-2x/år | Ja | Delvist |
| Red teaming | 300K-1M+ | 1x/år | Ja | Ja |
| Security audit | 0-300K | Årligt | Nej | Delvist |
Den optimale kombination til IT sikkerhedstest
De fleste organisationer har ikke brug for alle fem metoder. Her er vores anbefaling baseret på organisationsstørrelse:
For en mellemstor dansk virksomhed (50-500 ansatte, NIS2-omfattet):
- Start med en gap-analyse mod CIS 18 eller ISO 27001 (gratis, intern)
- Kør sårbarhedsscanning som daglig hygiejne
- Brug automatiseret pentest (NodeZero) til kontinuerlig validering
- Supplér med traditionel pentest for specialiserede områder (webapp, social engineering) efter behov
Denne kombination giver dig kontinuerlig sikkerhedsvalidering til en brøkdel af prisen for årlige konsulentengagements, og den opfylder NIS2’s krav om løbende effektivitetsvurdering.
Kom i gang med IT sikkerhedstest
Den hurtigste vej til at forstå din sikkerhedstilstand er at lade din infrastruktur blive testet. Ikke som en teoretisk øvelse, men som et reelt simuleret angreb.
Book en gratis NodeZero-demo med OpinioSec. Vi kører en test mod jeres miljø og gennemgår resultaterne sammen. I får et konkret billede af jeres sikkerhedsniveau, med prioriterede fund og konkret fix guidance.
Book en gratis NodeZero-demo eller ring til os på +45 77 34 56 40.
Ofte stillede spørgsmål om IT sikkerhedstest
Hvad er forskellen på sårbarhedsscanning og penetrationstest?
En sårbarhedsscanner identificerer kendte sårbarheder (CVE’er) men beviser ikke, om de kan udnyttes. En penetrationstest går videre: den udnytter svagheder, kæder dem sammen til angrebskæder og dokumenterer den faktiske risiko med proof of exploit.
Hvor ofte bør man lave IT sikkerhedstest?
Sårbarhedsscanning bør køres dagligt. Automatiseret pentest ugentligt eller månedligt. Traditionel pentest og security audit mindst årligt. NIS2 kræver løbende validering, ikke bare årlige snapshots.
Hvad koster en penetrationstest i Danmark?
En traditionel pentest koster typisk 150.000-400.000 kr. per engagement. Automatiseret pentest med NodeZero kører til et fast årligt abonnement med ubegrænsede tests. Se den fulde prissammenligning.
Opfylder sårbarhedsscanning NIS2-kravene?
Delvist. NIS2 Artikel 21(f) kræver at du vurderer effektiviteten af dine sikkerhedsforanstaltninger. Sårbarhedsscanning viser hvad der potentielt er sårbart, men beviser ikke om det kan udnyttes. Penetrationstest giver den dokumentation NIS2 kræver. Læs mere om NIS2-compliance.
Hvornår har man brug for red teaming?
Red teaming er relevant for organisationer med en moden sikkerhedsorganisation, der allerede kører regelmæssige penetrationstests og har etableret SOC og incident response. For de fleste mellemstore virksomheder giver automatiseret pentest bedre value for money.
Kan man lave IT sikkerhedstest selv?
Ja, delvist. Sårbarhedsscanning og gap-analyse mod CIS 18 kan du køre internt. Automatiseret pentest med NodeZero kræver minimal opsætning (5 minutter). Traditionel pentest og red teaming bør udføres af eksterne specialister for uafhængighed.
Læs også
- NodeZero i praksis: Autonom pentest på under 4 timer
- Kontinuerlig penetrationstest: Hvorfor årlig pentest ikke er nok
- Pentest pris: Automatiseret vs. traditionel
- NIS2 krav: Personligt ansvar for bestyrelsen
- NIS2-compliance: Validér din sikkerhed uden dyre konsulenter
- Pen test i 2026: Derfor vælger flere automatiseret pentest
- Automatiseret penetration test med NodeZero
OpinioSec er Nordens mest erfarne NodeZero-leverandør og eneste danske Horizon3.ai Guld-partner. Vi kombinerer licens, rådgivning og drift i en samlet løsning og hjælper danske organisationer med at styrke deres cybersikkerhed gennem automatiseret pentest og praktisk sikkerhedsarkitektur.
