Opsio - Cloud and AI Solutions
Pentest

Gratis Pentest

Kvalificerade svenska företag får en fullständig cloud- och webbapplikations-pentest utan kostnad. Utförd av senioringenjörer i Karlstad, med rapport anpassad till NIS2 och Cybersäkerhetslagen. 30-minuters scoping-samtal, rapport inom 7 arbetsdagar.

Ansök om gratis pentest

Vilka kvalificerar sig

Etablerade svenska företag med 50+ anställda som kör produktionsworkloads på AWS, Azure eller GCP. Prioritet för verksamheter som omfattas av NIS2 (väsentliga eller viktiga entiteter enligt Cybersäkerhetslagen), offentlig sektor, och organisationer med förestående ISO 27001-audit. En gratis pentest per företag och kalenderår.

Dag 1-3

1. Ansökan & scoping-samtal

Skicka in ansökan. Vi granskar inom 2 arbetsdagar och bokar ett 30-minuters scoping-samtal. Där bekräftar vi behörighet, definierar omfattningen och signerar ömsesidig sekretessavtal plus Letter of Authorisation (LoA).

Dag 4-9

2. Pentest-utförande

Vårt team i Karlstad kör den överenskomna omfattningen mot er molnmiljö: IAM-review, S3/Blob-exponering, CIS Benchmark, OWASP Top 10 mot en publik webbapplikation, extern perimeter-test. Alla tester skriftligt auktoriserade.

Dag 10-12

3. Rapport & genomgång

PDF-rapport anpassad till NIS2 Art. 21 åtgärder, Cybersäkerhetslagens krav, och ert specifika compliance-ramverk. 45-minuters genomgång med senioringenjör. Åtgärdsarbete erbjuds separat och är helt valfritt.

Vad ingår

  • AWS eller Azure molnkonfigurationsgranskning (IAM, S3/Blob, KMS, security groups)
  • Extern perimeter-skanning av publika tjänster
  • OWASP Top 10-scan av en webbapplikation (upp till 20 sidor)
  • Exponerade-hemligheter-kontroll (GitHub, publika endpoints)
  • CIS Benchmark gap-analys
  • PDF-rapport mappad till NIS2 Art. 21, Cybersäkerhetslagen, GDPR Art. 32
  • 45-min genomgång med senioringenjör (OSCP / CEH / AWS Security)

Vad ingår inte

  • Social ingenjörskonst eller fysiska säkerhetstester
  • On-prem-infrastruktur (endast molnworkloads)
  • Mobil app-binäranalys
  • Full red-team-insats
  • Åtgärdsarbete (erbjuds separat efter den gratis pentesten)
  • ISO 27001-certifiering (det är en separat process)

Rapport anpassad till ert compliance-ramverk

Cybersäkerhetslagen (SFS 2024:XX)

Svenskt genomförande av NIS2, i kraft 2024-10-17. MSB som tillsynsmyndighet.

NIS2 (Direktiv (EU) 2022/2555)

Art. 21 riskhanteringsåtgärder — tekniskt bevis för väsentliga och viktiga entiteter.

GDPR Art. 32 / Dataskyddsförordningen

Tekniska och organisatoriska åtgärder — pentest som standardförfarande.

ISO/IEC 27001:2022

A.8.29 Säkerhetstester under utveckling och acceptans.

MSBFS 2020:7

MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter.

PCI DSS 4.0

Krav 11.4.1-3 interna och externa penetrationstester.

Vem utför testet

AWS Advanced Consulting PartnerMicrosoft Solutions Partner (Azure)ISO 27001:2022 certifierade5 svenska kontor — data i SverigeOSCP-certifierade lead-ingenjörerCEH vid varje insatsAWS Security Specialty

Ansök om gratis pentest

Vi granskar ansökningar inom 2 arbetsdagar och svarar per e-post. Inget säljsamtal innan vårt tekniska scoping-samtal.

Vanliga frågor

Är det verkligen gratis? Vad är haken?

Verkligen gratis. Pentesten är vårt sätt att visa kompetens för kvalificerade kunder. Vi investerar 40-60 ingenjörstimmar per insats med förväntan att en del av kunderna engagerar oss för betald åtgärd eller managerade tjänster. Ungefär 35% av gratis pentest-mottagare blir betalande kunder inom 12 månader. Inga dolda avgifter, ingen faktura.

Varför ansökan istället för bara ett kontaktformulär?

Eftersom en insats på 40-60 senior ingenjörstimmar har reell kostnad. Vi filtrerar på företag som verkligen skulle gynnas och som vi plausibelt kan betjäna — typiskt 50+ anställda med produktionsmolnworkloads och aktivt compliance- eller säkerhetsbehov.

Är testningen juridiskt auktoriserad?

Ja, alltid. Efter scoping-samtalet signerar vi ömsesidig NDA och Letter of Authorisation (LoA) som dokumenterar omfattning, tidpunkt, mål och tillåtna tekniker. Er juridikavdelning får LoA innan tester påbörjas. Oauktoriserad intrång är brottsligt enligt BrB 4:9c (dataintrång) — vi tar inga genvägar här.

Hur lång tid tar hela processen?

Cirka 12 arbetsdagar. Dag 1-3: ansökan granskad och scoping-samtal. Dag 4-9: aktiva tester. Dag 10-12: rapportskrivning och genomgång. För tidskritiska audit-deadlines kan vi komprimera — diskutera under scoping-samtalet.

Godkänns rapporten av MSB eller min NIS2-tillsyn?

I de flesta fall ja. Våra rapporter är mappade mot NIS2 Art. 21 åtgärder och Cybersäkerhetslagens krav. Vid MSB:s tillsynsgranskningar är rapporten del av er nachweisdokumentation. För ISO 27001-certifiering behöver ni dessutom en certifierad auditor — vår rapport levererar det tekniska underlaget.

Vad händer om ni hittar något kritiskt?

Direktnotifiering inom 4 arbetstimmar via krypterad e-post om vi hittar något aktivt utnyttjbart eller pågående intrång. Den skriftliga rapporten kommer i slutet av insatsen, kritiska fynd delas samma dag.

Gör ni detta för startups under 50 anställda?

Sällan. Undantag för Series B+ scaleups med förestående ISO 27001 eller NIS2-registrering. För tidigare faser rekommenderar vi först en automatiserad skanning och senare en pentest när produktionsytan motiverar det.

Vem äger fynden och rapporten?

Ni. Rapporten är er egendom; vi behåller en anonymiserad kopia i vårt interna case-bibliotek för processförbättring. Vi publicerar eller delar inga fynd. NDA gäller åt båda håll.