Visa verkliga svagheter
Simulera verkliga cyberangrepp och hitta exploaterbara sårbarheter innan angripare gör det.
Penetrationstest
Sverige · redo för NIS2, DORA & ISO 27001
Penetrationstest i Sverige som visar verklig risk
Specialistledda penetrationstest för svenska organisationer. Våra testare i Sverige utnyttjar svagheter på samma sätt som en verklig angripare, ger dig en tydlig rapport och ett kostnadsfritt omtest som bekräftar att åtgärderna håller, anpassat för NIS2, DORA och ISO 27001.
eBuilder Security · angreppsväg
Exempel på angreppsväg
Live angreppsväg · detta uppdrag
2 / 6 bevisade
Kartläggning
Klar
Första åtkomst
Bevisad
Privilegieförhöjning
Testas
Lateral förflyttning
Köad
Data åtkomlig
Köad
Verifierat & åtgärdat
Köad
Test pågår
Testare i Sverige
Anlitade för att testa svenska organisationer
Anlitas av svenska kommuner, regioner och EU-reglerade verksamheter
Specialistledda uppdrag enligt OWASP, PTES och NIST som ger underlag tillsynsmyndigheter och revisorer kan använda.
Kostnadsfritt omtest ingår
CVSS v3.1-klassad rapportering
Data stannar i Sverige
Enligt OWASP, PTES & NIST
Anlitas av svenska kommuner, regioner och
EU-reglerade verksamheter sedan 2002
Varför nu
Därför behövs penetrationstest nu
Svenska organisationer möter hårdare krav och fler supply chain attacks. Penetrationstest visar luckorna innan en angripare gör det och ger underlag till tillsynsmyndigheter och kunder.
Visa regelefterlevnad och bygg förtroende
Direkt underlag för NIS2, ISO 27001 och DORA som visar kunder, partner och tillsynsmyndigheter att du tar säkerhet på allvar.
Förebygg dyra dataintrång
Bekräfta säkerhetsläget med regelbundna tester och minska risken för ekonomisk skada och förtroendeförlust.
I linje med OWASP, PTES och NIST
Varje uppdrag följer erkända branschmetoder. Resultaten blir konsekventa, upprepbara och möjliga att visa för en revisor.
Testare i Sverige
Tester utförs av specialister i Sverige. Resultat, bevis och rapport stannar inom svensk jurisdiktion och utan Schrems II-exponering.
Testdata stannar i Sverige
Ingen vidareöverföring till tredje land av loggar, bevis eller rapportinnehåll. Det skiljer oss från testare som skickar data via Frankfurt, Storbritannien eller USA.
Kostnadsfritt omtest ingår
När du har åtgärdat fynden testar vi igen utan extra kostnad. Rapporten du agerar på avslutas med verifierade resultat.
~8 000 organisationer omfattas nu
Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och utökar NIS2-kraven till omkring 8 000 svenska organisationer i 18 sektorer.
Styrelsens ansvar
Enligt Cybersäkerhetslagen kan styrelseledamöter hållas personligt ansvariga för säkerhetsåtgärder. Ett dokumenterat test är det mest direkta underlaget för att de har agerat.
Miljödata, augusti 2025
Ett enda ransomware-angrepp mot den svenska leverantören Miljödata störde tjänster i upp till omkring 200 kommuner och exponerade personuppgifter för över 1,5 miljoner personer.
TLPT vart tredje år
Betydande finansiella aktörer genomför threat-led penetration testing minst vart tredje år. Finansinspektionen utser vilka som omfattas. Riksbanken samordnar TIBER-SE.
Upp till €10M eller 2 % av omsättning
Sanktionsavgifter på upp till €10 miljoner eller 2 % av global årsomsättning vid allvarliga NIS2-brister. Tillsynsmyndigheter i EU har redan börjat utfärda dem.
Definition
Vad är penetrationstest?
Penetrationstest är ett avgränsat, etiskt cyberangrepp som utförs av säkerhetsspecialister. De hittar och utnyttjar svagheter i dina system på ett säkert sätt, precis som en verklig angripare skulle göra. Sedan rapporterar de varje risk med bevis och prioriterade, praktiska åtgärder. Det visar vad en angripare faktiskt kan åstadkomma, inte bara vad som kan vara möjligt.
Penetrationstest jämfört med sårbarhetsskanning
Sårbarhetsskanning
Automatiserad och bred, utan bevis på effekt
Listar möjliga svagheter från en signaturdatabas. Snabbt och brett, men visar inte vad en angripare faktiskt kan göra med dem.
Penetrationstest
Specialistlett och kedjat, med bevis på verklig effekt
Utförs av en specialist som manuellt utnyttjar och kedjar svagheter för att visa verklig effekt, med bevis som tillsynsmyndigheter kan godta.
Scope
Våra tjänster för penetrationstest
Offensiv testning med fullt scope över de tillgångar svenska organisationer faktiskt använder, på plats och på distans.
Webbapplikationer och API:er
OWASP-anpassad testning av webbappar och API:er för injection, bruten åtkomstkontroll och brister i affärslogik.
Nätverk, internt och externt
Vi testar exponering i perimeter och angreppsvägar i interna nätverk som en verklig inkräktare, även infrastruktur på plats.
Cloud
Test av konfiguration, identitet och åtkomst i Azure, AWS och SaaS-miljöer.
Active Directory
Missbruk av Kerberos och LDAP, privilegieförhöjning och lateral förflyttning i din AD-miljö.
Mobilapplikationer
Testning av iOS- och Android-klienter och backend, inklusive osäker lagring, transport, IPC och API-missbruk.
Red team och social engineering
Målstyrd angriparsimulering; phishing, fysiska tester och OPSEC, testat mot din detektering och respons.
Regelefterlevnad
Ett test, underlag för varje regelverk
Ett enda uppdrag ger det underlag svenska tillsynsmyndigheter och revisorer letar efter.
| Regelverk | Krav | Så ger pentest underlag |
|---|---|---|
| Svensk lag NIS2 / Cybersäkerhetslagen (SFS 2025:1506) | Art. 21(2)(e)–(f): sårbarhetshantering och test av effektivitet | Direkt, dokumenterat underlag för effektivitet |
| EU-reg. DORA | Art. 24–27: resilienstester; TLPT vart tredje år för betydande aktörer | Grundtestning med TIBER-SE-vägledning där TLPT gäller |
| Standard ISO 27001:2022 | Annex A 8.8 sårbarhetshantering; A.8.29 säkerhetstestning | Oberoende underlag som revisorer väntar sig vid Stage 2 |
| Bransch PCI DSS v4.0 | Krav 11.4: intern och extern testning minst årligen | Avgränsad CDE-testning med bekräftat omtest |
| EU-reg. GDPR | Art. 32(1)(d): regelbunden testning av tekniska och organisatoriska åtgärder | Återkommande tester, rapporterbara till IMY enligt Art. 33 |
~8,000
Svenska organisationer omfattas nu av Cybersäkerhetslagen · SFS 2025:1506
~200
Kommuner som stördes av ransomware-angreppet mot leverantören Miljödata 2025
1.5M+
Personer vars personuppgifter exponerades i dataintrånget · Miljödata, 2025
€10M / 2%
Av global omsättning: NIS2:s sanktionsnivå för väsentliga aktörer · Art. 34
Så fungerar det
Ett fast scope. En rapport som både ledning och IT-team kan agera på. Från scope till verifierat omtest, med en namngiven ansvarig hela vägen.
Scope och stöd inför testet
Vi hjälper dig sätta rätt scope och briefa berörda team, så störningen minimeras och uppdragsreglerna dokumenteras innan ett enda paket skickas.
UppdragsreglerCVSS-klassad rapport
Varje sårbarhet klassas med bevis, CVSS v3.1-poäng och tydliga, prioriterade åtgärder som ditt team kan ta direkt.
CVSS v3.1Ledningsöversikt
Skriven så att ledningen kan förstå och agera på fynden, inte bara IT-teamet. Passar för styrelserapportering och underlag till tillsynsmyndigheter.
Redo för styrelsenGenomgång efter testet
En livegenomgång där vi förklarar varje fynd, svarar på frågor och stöttar teknikerna under åtgärdsperioden.
Direkt genomgångKostnadsfritt omtest
Vi testar igen när ditt team har åtgärdat fynden för att bekräfta att korrigeringarna fungerar. Ingår utan extra kostnad i varje uppdrag.
IngårTestare i Sverige
Fynd, bevis och rapport stannar inom svensk jurisdiktion. Ingen överföring till tredje land och ingen Schrems II-exponering.
Schrems II-säkertEtt uppdrag i åtta steg
Från scope till omtest, med en namngiven ansvarig från uppstart till sign-off.
01
Uppstart
Scope och uppdragsregler
Vi kommer överens om tillgångar, djup, testfönster och kontaktpersoner, och dokumenterar uppdragsreglerna innan ett enda paket skickas.
02
Underrättelser
Kartläggning
Open-source och passiv underrättelseinhämtning om exponerade tjänster, läckta inloggningsuppgifter och supply chain-avtryck.
03
Upptäckt
Scanning och enumeration
Aktiv upptäckt av tjänster, konton och konfigurationer över den avgränsade attackytan.
04
Angrepp
Exploatering
Manuell exploatering av identifierade svagheter för att visa verklig effekt, inte bara teoretisk exponering.
05
Djup
Efter exploatering
Privilegieförhöjning, lateral förflyttning och försök till persistence, precis som en verklig angripare skulle testa fotfästets djup.
06
Underlag
Rapportering
CVSS-klassade fynd med bevis, en ledningsöversikt och prioriterade åtgärder som ditt team kan ta direkt.
07
Stöd
Åtgärdsstöd
En livegenomgång av varje fynd och svar till teknikerna som åtgärdar dem. Stöd via mejl och samtal under hela åtgärdsperioden.
08
Ingår
Kostnadsfritt omtest
Vi testar igen när ditt team har åtgärdat fynden och bekräftar att korrigeringarna fungerar, utan extra kostnad. Rapporten du agerar på avslutas med verifierade resultat.
Testningen följer erkända standarder: OWASP Top 10 och Web Security Testing Guide, PTES, NIST SP 800-115 och OSSTMM. Varje uppdrag delas sedan in i en av tre nivåer.
Mest realistisktBlack box
Ingen förkunskap om målet. Testar den bild en extern angripare faktiskt har och visar vad som exponeras utan hjälp. Bäst för att validera din perimeter ur angriparens perspektiv.
BalanseratGrey box
Delvis kunskap eller inloggningsuppgifter. Balanserar realism och täckning och är ofta rätt startpunkt för ett första uppdrag. Hittar både extern exponering och internt missbruk av privilegier.
Mest täckning per kronaWhite box
Full åtkomst, inklusive dokumentation och källkod där det är relevant. Maximerar djupet och är det mest kostnadseffektiva sättet att hitta subtila logikfel. Passar för applikationer i aktiv utveckling.
Anlitas av IT- och säkerhetsledare i Sverige och Europa
"
Genom deras breda säkerhetstjänster och vårt val av deras MDR-lösning har eBuilder Security stärkt vår säkerhetsnivå avsevärt. Under implementationen var de snabba med att hjälpa till och föreslå lösningar på de utmaningar vi mötte. Övergången från projekt till produktion har varit smidig, och deras backendteam förstod snabbt våra verksamhetsbehov. eBuilder Security är en värdefull partner för vårt framtida säkerhetsarbete.
Gerth Ericsson
IT Manager, Vandewiele, Sweden
"
eBuilder Security hjälper oss att möta våra behov inom IT- och informationssäkerhet. Vi är mycket nöjda med deras djupa kunskap, breda tjänster och engagemang för att stärka vår cybersäkerhet. Från End Point Protection, rådgivning och revision till penetrationstest har eBuilder Security varit en pålitlig partner i skyddet av vår organisation.
Christian Sørensen
Internal Operations Director, Médecins Sans Frontières, Norway
"
Produkten ökar kunskap och säkerhetsmedvetande. Den hjälper organisationer att bygga en god informationssäkerhetskultur. Jag uppskattar särskilt att det är en helhetslösning där eBuilder Security tar hand om hela processen från kick-off till rapportering, samtidigt som den kan anpassas efter våra verksamhetsspecifika förutsättningar.
Per Eriksson
Information Security Strategist, Varbergs Kommun, Sweden
Vilka vi arbetar med
Byggt för svenska kommuner, regioner och reglerade verksamheter
Vi arbetar inom upphandlingskrav som LOU och ramavtal, planerar tester runt medborgarnära tjänster och rapporterar på ett språk som både IT-team och ledning kan agera på.
Gratis nedladdning · RFP & scope
Sätt scope för testet på 15 minuter
En praktisk scope-checklista och en RFP-mall för att briefa valfri leverantör, med frågor som skiljer ett riktigt test från en scanning.
- Arbetsblad för tillgångar och scope: ett en-sidesunderlag av webbappar, API:er, nätverk, cloudkonton och AD-miljöer som bör ingå i scope, och vad du medvetet bör utesluta.
- Metodväljare: när black box, grey box eller white box är rätt djup för varje tillgång, och hur du formulerar det så att leverantörer offererar på samma grund.
- Mappning mot regelverk: vilka klausuler i NIS2, DORA, ISO 27001, PCI DSS och GDPR ett enda uppdrag bör ge underlag för, med de rapportdelar som visar det.
- Frågebank för leverantörer: frågorna som skiljer ett riktigt penetrationstest från en sårbarhetsskanning med pentest-etikett, inklusive omtest, datalagring och testarnas meriter.
- RFP-mall: en brief du kan kopiera och skicka till valfri leverantör för offert, med tidplan, uppdragsregler och rapportförväntningar ifyllda.
Byggt för svenska regelkrav. Gratis att ladda ner, inget säljsamtal krävs.
Hämta scope-checklistan
Skickas till din inkorg. Datalagring i EU. Vi behandlar bara det som behövs för nedladdningen.
Datalagring i EU. Vi säljer eller delar inte dina uppgifter.
Indikativt spann på svenska marknaden
Det ingår oftast
Litet externt test
ca 30 000 SEK
Mellanstort scope
80 000 – 180 000 SEK
Fullt scope
250 000+ SEK
Omtest
Ingår
Ledningsöversikt
Ingår
Genomgång efter testet
Ingår
Marknadsläge som budgetstöd. Exakt pris står i din scope-baserade offert.
Pris
Vad kostar ett penetrationstest i Sverige?
Kostnaden beror på scope, antal tillgångar och metodik. Som riktmärke ligger penetrationstest på den svenska marknaden ofta från cirka 30 000 SEK för ett litet externt test till 250 000 SEK och uppåt för ett uppdrag med fullt scope.
Därför ger scope bästa budgetunderlaget
Ett litet externt nätverkstest och ett red-team-uppdrag med fullt scope är helt olika uppdrag. Det scope vi kommer överens om styr priset. Omtest ingår, så priset du godkänner tar dig till en verifierad åtgärd utan dolda tillägg.
Det ingår i priset
Stöd inför testet, själva uppdraget, en CVSS-klassad rapport med ledningsöversikt, en livegenomgång efter testet och kostnadsfritt omtest ingår i varje uppdrag. Du köper ett resultat, inte en dagstaxa.
Frågor
FAQ om penetrationstest
Frågor som säkerhetsansvariga och inköpsansvariga faktiskt ställer innan de beställer ett test.
Vad är penetrationstest?
Penetrationstest är ett avgränsat, etiskt cyberangrepp som utförs av säkerhetsspecialister. De hittar och utnyttjar svagheter på ett säkert sätt, som en verklig angripare skulle göra, och rapporterar varje risk med bevis och prioriterade åtgärder. Det visar verklig effekt, inte bara teoretisk exponering.
Vad skiljer en sårbarhetsskanning från ett penetrationstest?
En sårbarhetsskanning är automatiserad och listar möjliga svagheter. Ett penetrationstest utförs av en expert som manuellt utnyttjar och kedjar svagheterna för att visa vad en angripare faktiskt kan åstadkomma. Ofta behövs båda: scanning för bredd, testning för bevis.
Vad kan ni testa?
Webbapplikationer och API:er, interna och externa nätverk inklusive infrastruktur på plats, cloudmiljöer som Azure och AWS samt Active Directory. Vi testar även mobilapplikationer och kan genomföra red-team- och social engineering-uppdrag. Varje test körs som black box, grey box eller white box beroende på ditt mål.
Vad skiljer black box, grey box och white box?
Black box betyder ingen förkunskap och är mest realistiskt. Grey box betyder delvis kunskap eller inloggningsuppgifter och balanserar realism med täckning. White box betyder full åtkomst och ger mest täckning per krona. Vi rekommenderar rätt djup för varje tillgång och mål.
Uppfyller penetrationstest NIS2 och Cybersäkerhetslagen?
NIS2 artikel 21(2)(f) kräver processer för att bedöma hur effektiva dina säkerhetsåtgärder är, och penetrationstest är det mest direkta underlaget. I Sverige införs NIS2 genom Cybersäkerhetslagen (SFS 2025:1506), som gäller sedan 15 januari 2026.
Vad är TLPT och TIBER-SE, och behöver vi det?
Threat-led penetration testing (TLPT) är underrättelsestyrd testning av hela organisationen och krävs enligt DORA minst vart tredje år för betydande finansiella aktörer. I Sverige utser Finansinspektionen vilka som testas och Riksbanken samordnar genom TIBER-SE. Vi kan hjälpa dig bedöma om det gäller dig.
Hur lång tid tar ett penetrationstest?
Ett fokuserat test av en enskild applikation eller extern perimeter tar normalt en till två veckor inklusive rapportering. Ett uppdrag med fullt scope tar längre tid. Vi kommer överens om tidplanen under scope-arbetet så att den passar dina release- och servicefönster.
Hur ofta bör vi göra penetrationstest?
Minst en gång per år och efter större ändringar i system, applikationer eller infrastruktur. Regelbunden testning följer nya hot och kodändringar. Våra kostnadsfria omtester bekräftar också att tidigare åtgärder fortfarande håller vid nästa uppdrag.
Ingår omtest?
Ja. När du har åtgärdat fynden testar vi igen utan extra kostnad för att bekräfta att korrigeringarna fungerar. Rapporten du agerar på avslutas med verifierade resultat, inte öppna frågor.
Vilken metodik följer ni?
Testningen följer erkända standarder: OWASP Top 10 och Web Security Testing Guide för applikationer, PTES, NIST SP 800-115 och OSSTMM. Det gör fynden konsekventa, upprepbara och möjliga att visa för en revisor.
Vad innehåller en pentest-rapport?
En ledningsöversikt skriven för ledningen, detaljerade fynd med bevis, CVSS v3.1-riskklassning, tydlig åtgärdsvägledning och ett omtest som verifierar korrigeringar. Skriven så att både tekniska team och styrelse kan förstå och agera på resultaten.
Var lagras våra testdata?
Tester utförs av specialister i Sverige, och fynd och rapport stannar inom svensk jurisdiktion. Det spelar roll enligt Schrems II, där EU-hosting i sig inte räcker om leverantören kan omfattas av utländska myndighetsbeslut.
Vad kostar det och hur får vi en offert?
Kostnaden beror på scope, antal tillgångar och metodik. På den svenska marknaden ligger tester ofta från cirka 30 000 SEK för ett litet externt test till 250 000 SEK och uppåt för fullt scope. Boka ett 30-minuters scope-samtal för ett exakt pris.
Sätt scope för ditt penetrationstest. Bekräfta säkerhetsläget innan en angripare gör det.
Prata med vårt team i Sverige om ett test anpassat till din miljö, dina regelkrav och din budget. Vi visar också live SOC i drift. Inga presentationer och inga förpliktelser.
Boka ett 30-minuters scope-samtal
Inga förpliktelser
Specialister i Sverige
Behöver du ett penetrationstest?
Snabb indikation
Har det gått mer än 12 månader sedan ditt senaste test, eller har du aldrig gjort ett?
Har du lanserat nya appar eller ändrat cloud eller infrastruktur sedan dess?
Behöver du underlag för NIS2, DORA eller ISO 27001 i år?
Svara på tre frågor för en snabb indikation.
Endast vägledande inför samtalet. Inte en formell bedömning.
Starkare tillsammans: kombinera pentest med dessa tjänster
Ett penetrationstest visar vad som kan utnyttjas idag. Dessa tjänster hjälper dig ligga före det som ändras i morgon.
Managed Detection & Response
24/7 SOC, Sverige
Ett pentest hittar luckorna. MDR bevakar dem dygnet runt. Specialistledd detektering och respons med en namngiven svensk analytiker, inte en ärendekö.
Säkerhetsmedvetande
& phishing-simulering
Tekniska skydd stoppar tekniska angrepp. De flesta dataintrång börjar med en person. Nanolektioner och realistiska phishing-simuleringar stärker det mänskliga lagret.
CISO as a Service
Strategisk rådgivning
Pentest-resultat går in i riskregistret. vCISO gör dem till styrelsestrategi. Styrning, regelefterlevnad och leverantörsrisk utan en heltidsanställning.