Gratis Pentest

Omfattning och djup. Gratis-insatsen är en fokuserad bedömning på 40-60 ingenjörstimmar med fast omfattning: en AWS- eller Azure-molnkonfigurationsgranskning, en extern perimeter-skanning, OWASP Top 10 mot en publik webbapplikation (upp till 20 sidor), en kontroll av exponerade hemligheter och en CIS Benchmark gap-analys — levererat inom 12 arbetsdagar med en PDF-rapport mappad till NIS2 Art. 21, Cybersäkerhetslagen och GDPR Art. 32. Vår betalda penetrationstest-tjänst på /sv/penetration-vulnerability-testing-service/ täcker större eller känsligare omfattningar: flera webb- och API-applikationer, internt nätverk och Active Directory-pentest, segmenterade PCI-kortdatamiljöer, red-team-insatser, mobil binäranalys, återtest efter åtgärd och engagemang som kräver platsbesök eller säkerhetsskyddsavtal. Behöver ni något utöver inkluderingslistan, eller vill ha ett återkommande årligt pentest-program enligt NIS2 Art. 21, är den betalda tjänsten rätt väg. Många kunder kör först gratis pentesten för att lära känna oss, sedan beställer den betalda insatsen för bredare omfattning eller uppföljande återtest.

Verkligen gratis. Pentesten är vårt sätt att visa kompetens för kvalificerade kunder. Vi investerar 40-60 ingenjörstimmar per insats med förväntan att en del av kunderna engagerar oss för betald åtgärd eller managerade tjänster. Ungefär 35% av gratis pentest-mottagare blir betalande kunder inom 12 månader. Inga dolda avgifter, ingen faktura.

Ja. Cybersäkerhetslagen (svenskt genomförande av NIS2, i kraft sedan 2024-10-17 med tillsynsuppdatering 2026) kräver att väsentliga och viktiga entiteter genomför regelbundna säkerhetstester enligt Art. 21 och rapporterar betydande incidenter till MSB inom 24 timmar (förvarning) respektive 72 timmar (incidentanmälan). Vår rapport mappar varje fynd mot NIS2 Art. 21-åtgärderna och MSBFS 2020:7 där relevant, så att ni kan använda den som tekniskt underlag vid MSB:s tillsynsgranskningar. Vi inkluderar också en bilaga med rekommenderade incident response-rutiner som matchar MSB:s rapporteringsmallar, vilket gör det enklare att uppfylla rapporteringsskyldigheten om något inträffar efter pentesten.

Den slutliga rapporten levereras 5 arbetsdagar efter att aktiv testning avslutats (dag 10-12 i den totala 12-dagarsprocessen). Rapporten innehåller: en executive summary på svenska för ledningen, en teknisk sektion med varje fynd dokumenterat med CVSS 3.1-poäng (Base, Temporal och Environmental), reproducerbar proof-of-concept för verifiering, prioriterad åtgärdsplan (P0/P1/P2/P3 baserat på CVSS + exploaterbarhet i er specifika miljö), kontrollmappning mot NIS2 Art. 21, Cybersäkerhetslagen, GDPR Art. 32 och ert valda ramverk (ISO 27001 / PCI DSS), bilagor med rådata från skannrar samt en bilaga med rekommenderade kompenserande kontroller om åtgärd inte är möjlig på kort sikt. PDF levereras via krypterad kanal med S/MIME eller PGP enligt era preferenser.

All data och alla fynd stannar inom EU under hela insatsen. Testningen utförs från våra svenska kontor (Karlstad, Stockholm) av personal anställd av Opsio AB. Vi agerar som personuppgiftsbiträde enligt GDPR och tecknar ett personuppgiftsbiträdesavtal (DPA) innan testning påbörjas. Rådata och rapport raderas från våra system 12 månader efter leverans såvida ni inte skriftligen begär längre lagring för audit-spårbarhet. För kunder med säkerhetsskyddsavtal eller hantering av säkerhetsskyddsklassificerade uppgifter använder vi separata isolerade testmiljöer — diskutera detta under scoping-samtalet.

Eftersom en insats på 40-60 senior ingenjörstimmar har reell kostnad. Vi filtrerar på företag som verkligen skulle gynnas och som vi plausibelt kan betjäna — typiskt 50+ anställda med produktionsmolnworkloads och aktivt compliance- eller säkerhetsbehov.

Ja, alltid. Efter scoping-samtalet signerar vi ömsesidig NDA och Letter of Authorisation (LoA) som dokumenterar omfattning, tidpunkt, mål och tillåtna tekniker. Er juridikavdelning får LoA innan tester påbörjas. Oauktoriserad intrång är brottsligt enligt BrB 4:9c (dataintrång) — vi tar inga genvägar här.

Cirka 12 arbetsdagar. Dag 1-3: ansökan granskad och scoping-samtal. Dag 4-9: aktiva tester. Dag 10-12: rapportskrivning och genomgång. För tidskritiska audit-deadlines kan vi komprimera — diskutera under scoping-samtalet.

I de flesta fall ja. Våra rapporter är mappade mot NIS2 Art. 21 åtgärder och Cybersäkerhetslagens krav. Vid MSB:s tillsynsgranskningar är rapporten del av er nachweisdokumentation. För ISO 27001-certifiering behöver ni dessutom en certifierad auditor — vår rapport levererar det tekniska underlaget.

Direktnotifiering inom 4 arbetstimmar via krypterad e-post om vi hittar något aktivt utnyttjbart eller pågående intrång. Den skriftliga rapporten kommer i slutet av insatsen, kritiska fynd delas samma dag.

Sällan. Undantag för Series B+ scaleups med förestående ISO 27001 eller NIS2-registrering. För tidigare faser rekommenderar vi först en automatiserad skanning och senare en pentest när produktionsytan motiverar det.

Ni. Rapporten är er egendom; vi behåller en anonymiserad kopia i vårt interna case-bibliotek för processförbättring. Vi publicerar eller delar inga fynd. NDA gäller åt båda håll.