Tjenester Sikkerhetssjekk Sikkerhetsopplæring NIS2 GAP-analyse Beredskap og øvelser Sikkerhetstesting Løpende oppfølging Sikkerhetsressurser NIS2 Fagstoff Diagnose Kontakt Book en sikkerhetsprat

Sikkerhetstesting Oppdatert 21. juni 2026

Hva koster en penetrasjonstest?

Hvorfor det ikke finnes én fast pris, hva som driver kostnaden, og hvordan sammenligne tilbud likt.

Vernum Fagredaksjonen

Kort fortalt

En penetrasjonstest har ingen fast pris, og det er det god grunn til. En seriøs test starter alltid med å definere hva som skal testes, før noe annet, så pris uten avklart omfang er i praksis gjetting. Det som avgjør tallet er hvor mye som skal testes, hvor dypt, og hvor grundig metodikk som følges. Denne artikkelen forklarer driverne, så dere forstår hvorfor tilbud spriker, og hva dere bør spørre om for å sammenligne dem likt. Vi oppgir ingen tall her, fordi riktig pris avhenger av akkurat deres oppdrag.

Hvorfor det ikke finnes én fast pris

Anerkjente metodikker er enige om at en penetrasjonstest begynner med å definere omfang og rammer, før noe teknisk arbeid settes i gang. I Penetration Testing Execution Standard (PTES) heter denne første fasen «pre-engagement», og i NSMs og NISTs veiledere er planlegging og avklaring av rammer steg én. Hensikten er å unngå at oppdraget sklir ut underveis, og å sette tydelige grenser for hva som er innenfor og utenfor.

Konsekvensen er enkel: en test mot én liten nettside og en test mot hele den interne infrastrukturen er to helt forskjellige oppdrag. En fast pris oppgitt på forhånd, uten å kjenne omfanget, betyr derfor enten gjetting, eller at dere får en standardpakke som ikke nødvendigvis passer det dere trenger testet. Pris uten avklart omfang er i praksis gjetting.

Pris uten avklart omfang er i praksis gjetting.

Dette avgjør prisen

Noen få faktorer forklarer mesteparten av forskjellen mellom et lite og et stort oppdrag:

Omfang. Hvor mye som skal testes: antall applikasjoner, systemer, IP-adresser, API-endepunkter og brukernivåer, og hva som eksplisitt holdes utenfor. Dette er den største enkeltfaktoren, fordi det styrer hvor mye arbeid som faktisk skal gjøres.

Dybde. Hvor mye av arbeidet som er manuelt kontra automatisert. En automatisert skanning er rask og rimeligere, men finner bare kjente svakheter. En reell penetrasjonstest legger til manuelt arbeid der en fagperson forsøker å utnytte funnene, kjede dem sammen og tenke som en angriper. NIST peker på at nettopp utnyttelsesfasen krever ferdigheter på tvers av nettverk, operativsystemer, web og sky. Mer dybde betyr mer spesialisert tid, og det koster mer.

Tilnærming. To ting spiller inn her. Det ene er hvor mye testeren får vite på forhånd: med black box får testeren ingen intern informasjon og må finne alt selv, som tar mer tid, mens white box gir full innsikt og lar testeren gå rett på de viktige tingene. Grey box ligger imellom. Det andre er om testen er varslet eller skjult. En åpen, varslet test er rimeligere og brukes oftest. En skjult test, der IT-driften ikke er informert på forhånd, gir et mer realistisk bilde av den daglige sikkerheten, men er mer tidkrevende og dyrere, fordi testeren må jobbe forsiktig for ikke å bli oppdaget. Det spiller også inn om testen gjøres utenfra (som en angriper på internett) eller innenfra (som noen som allerede har en fot innenfor).

Metodikk og grundighet. En test som følger en anerkjent metodikk, for eksempel OWASP sin Web Security Testing Guide for web, eller NIST SP 800-115 og PTES som overordnet ramme, er mer systematisk og tar mer tid enn en overflatisk gjennomgang. Det er en kvalitetsforskjell dere betaler for.

Rapportering. En god leveranse har to lag: et teknisk lag for dem som skal rette feilene, og et ledelsessammendrag for styret eller daglig leder. NIST anbefaler nettopp denne todelte rapporteringen. En grundig rapport tar reell tid å skrive, uavhengig av hvor mange funn som gjøres.

Praktiske forhold. En intern test krever ofte at testeren er fysisk til stede, slik at reise og tid på stedet legges på. Skal testen berøre sensitive data, kreves ekstra forsiktighet og dokumentasjon, og det øker arbeidet.

Hvorfor en skanning koster mindre, men er noe annet

Det er lett å sammenligne en billig «pentest» med en dyrere og tro at det er samme vare. Det er det sjelden. En sårbarhetsskanning er automatisert og krever mindre spesialisert kompetanse, mens en penetrasjonstest legger til manuelt arbeid og faktisk utnyttelse. Er et tilbud påfallende billig, er det ofte fordi det egentlig er en skanning, ikke en reell test. Vil dere forstå forskjellen før dere bestiller, har vi forklart den i hva er sikkerhetstesting.

Er det verdt pengene?

NSMs grunnprinsipper for IKT-sikkerhet anbefaler å gjennomføre inntrengingstester som en del av sikkerhetsarbeidet. Regnestykket er nøkternt: én kritisk svakhet funnet og tettet i tide kan spare bedriften for langt mer enn testen koster, i form av nedetid, gjenoppretting og tapt tillit.

Et nytt regelverk (NIS2) er også på vei inn i Norge, og uavhengig av det ber stadig flere kunder og samarbeidspartnere om dokumentert testing. Vi går ikke inn i jussen her. Poenget er at en test både reduserer risiko og gir dokumentasjon dere kan vise frem.

Slik får dere riktig pris, ikke bare lavest pris

Målet er ikke det billigste tilbudet, men riktig omfang til riktig pris. Det får dere ved å avklare hva som faktisk bør testes først, og ved å be hver leverandør svare på det samme. Da kan dere sammenligne tilbud likt, og dere ser raskt hvem som selger en skanning til pentest-pris:

  • Hvilken metodikk følger dere? (for eksempel OWASP, NIST SP 800-115 eller PTES)
  • Hva er omfanget konkret? (hvilke applikasjoner, IP-adresser og systemer, og hva er holdt utenfor)
  • Er det black, grey eller white box?
  • Hva inngår i prisen, og hva er tillegg?
  • Hvilken rapport får vi: både tekniske funn og et ledelsessammendrag?
  • Kan vi avtale en re-test etter at funnene er utbedret?

Slik gjør Vernum det

Vi oppgir ingen fast pris, fordi riktig pris avhenger av hva som bør testes hos akkurat dere. Vi avklarer omfanget sammen med dere først, og avtaler pris ut fra det. Prisen settes på markedet, ikke under.

Er dere usikre på hva som bør testes, er en god start å ta sikkerhetsdiagnosen eller ta en uforpliktende prat. Vil dere se hvordan selve testen gjennomføres og dokumenteres, kan dere lese mer om sikkerhetstesting hos Vernum.

FAQOfte stilte spørsmål

Ofte stilte spørsmål

Hvorfor får jeg ikke en fast pris på forhånd?

Fordi prisen styres av hva som skal testes. Anerkjente metodikker starter med å definere omfang og rammer før testing. En seriøs leverandør avklarer det først, så de anbefaler riktig tidsramme i stedet for å gjette.

Hva avgjør prisen mest?

Omfang og dybde. Hvor mye som testes, og hvor mye av arbeidet som er manuelt fremfor automatisert. Tilnærming, metodikk og rapportering spiller også inn.

Hvorfor er en sårbarhetsskanning billigere enn en penetrasjonstest?

En skanning er automatisert og krever mindre spesialisert kompetanse. En penetrasjonstest legger til manuelt arbeid og faktisk utnyttelse, og koster mer fordi den ser mer.

Hvordan vet jeg at jeg sammenligner tilbud likt?

Still alle leverandørene de samme spørsmålene: metodikk, konkret omfang, tilnærming, hva som inngår, rapportens innhold, og om re-test er med. Får dere like svar, kan tilbudene faktisk sammenlignes.

Hvor ofte bør vi teste?

Anerkjente standarder peker mot minst årlig testing for viktige flater, og i tillegg etter større endringer i applikasjon eller arkitektur. Endrer løsningen seg raskt, bør dere teste oftere. En test er et øyeblikksbilde, så den bør gjentas over tid.

Hva koster det hos Vernum?

Vi avtaler pris etter omfang, etter en kort og uforpliktende prat, slik at dere betaler for det dere faktisk trenger. Prisen settes på markedet, ikke under.