西方制药5·4勒索攻击+5·7强制8-K披露：SEC Item 1.05四日红线、CETU"欺诈性披露"执法新坐标——在美中概股网络安全合规框架重构

事件聚焦：5·4 勒索攻击 + 5·7 紧急 8-K 披露

2026 年 5 月 7 日，纽交所上市制药包装与药物递送系统巨头 West Pharmaceutical Services, Inc.（股票代码：WST）依据 1934 年《证券交易法》及 17 C.F.R. § 229.106（Regulation S-K Item 106）的要求，向美国证券交易委员会（SEC）提交 Form 8-K 的 Item 1.05 紧急披露，确认其于 2026 年 5 月 4 日检测到一起重大网络安全事件——勒索软件攻击者已渗透公司本地企业系统、加密关键服务器并外泄部分数据。该公司紧急下线受影响基础设施，聘请 Palo Alto Networks Unit 42 协助取证与恢复，并通报联邦执法机关，全球生产、发货与企业系统出现暂时性中断。

从事件检测（5·4）到完成 8-K 提交（5·7），恰好落在 SEC 自 2023 年 7 月 26 日通过新规以来"四个工作日"披露窗口的临界线上，再度把"重大性判断—披露时机—DOJ 推迟函"三维红线推至中概股与跨境上市公司合规议程的最前端。

法规背景：Item 1.05、Item 106 与 CETU 时代

2023 年 7 月 26 日，SEC 通过最终规则 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure（17 C.F.R. § 229.106、§ 240.13a-11 等），首次系统化要求所有在美上市的境内与境外发行人（含以 Form 20-F 申报的外国私人发行人 FPI）：

（1）8-K Item 1.05：对认定为"重大"（material）的网络安全事件，自重大性认定之日起四个工作日内披露事件的性质、范围、时点及对发行人财务状况和经营业绩的重大影响（含合理可预期的重大影响）；（2）10-K Item 106：在年度报告中披露网络风险管理流程、董事会监督机制及管理层在评估与管控网络风险中的角色。

2025 年 2 月 20 日，SEC 正式以"网络与新兴技术执法小组（Cyber and Emerging Technologies Unit, CETU）"取代原"加密资产与网络小组（CACU）"。CETU 由 Laura D'Allaird 领衔、规模约 30 人，明确将"上市公司的网络安全欺诈性披露（fraudulent cybersecurity disclosures by public issuers）"列为七大优先领域之一。与此同时，SEC 主动撤回了与 SolarWinds 案中"内部控制薄弱"理论相关的部分主张——清晰释放信号：CETU 阶段执法重点由"技术性披露瑕疵"转向"欺诈性误述、重大遗漏与投资者损害"。

Item 1.05 四日规则的四个核心要素

第一，触发节点是"重大性认定"而非"事件检测"。发行人必须"without unreasonable delay 不得不合理拖延"完成重大性判断，依据 TSC Industries v. Northway（426 U.S. 438）与 Basic v. Levinson（485 U.S. 224）的概率—重要性双叉标准，结合 SEC 公司财务部 2024 年 6 月 24 日颁布的 Compliance & Disclosure Interpretations（C&DIs 104B.05、104B.06、104B.08）综合判断。

第二，四个工作日自重大性认定之日起算。一经认定，须在 8-K Item 1.05 披露事件的性质、范围、时点（material aspects of the nature, scope, and timing）以及重大影响或合理可预期的重大影响，涵盖财务状况与经营业绩。

第三，DOJ 国家安全推迟函例外。若美国司法部长书面认定立即披露将对国家安全或公共安全构成重大威胁，发行人可获最长 30 个工作日推迟（可申请二次 30 日延长，再加总检察长一次 60 日延长）；DOJ 已公布 Procedures for Invoking the National Security or Public Safety Delay（28 C.F.R. § 0.59 项下），构成中资发行人不可忽视的"窗口管理"工具。

第四，后续修订义务。初次 8-K 提交后，新增重大信息（如赎金支付、外泄数据范围扩大、监管诉讼、董事会调查启动）须依据 Item 1.05(c) 提交修订 8-K，构成连续披露链条。

对在美中概股与中资跨境企业的合规要点

1. 内嵌"董事会—披露委员会—CISO"三方决策链。建议中资发行人在 Disclosure Committee Charter 中明确：CISO 须在事件检测后 24 小时内向披露委员会递交初步评估；披露委员会 48-72 小时内完成重大性认定备忘录；备忘录全程留痕，以应对未来 CETU 调查中的 disclosure-control 抗辩举证需要。

2. 第三方供应链事件不豁免披露。Item 1.05 同时覆盖"在第三方系统中发生"的网络事件——只要对发行人构成 reasonably likely material impact，即负披露义务。中资母公司与其在美子公司之间的事件通报合同条款（incident notification SLA）应限定 12-24 小时内升级，杜绝"集团内部信息阻断"导致披露延迟。

3. 20-F / 6-K 与 8-K 的协同披露。在美以 FPI 身份注册的中概股虽不直接适用 8-K Item 1.05，但 SEC 在 20-F Item 16K 中已写入实质性等价要求——FPI 须实质披露重大网络事件的范围、影响与治理回应，并通过 Form 6-K 同步发行人对外公开的重大网络事件，避免"中美两地披露落差"。

4. DOJ 推迟函的"启动键"必须前置。在事件响应预案中预设 DOJ 推迟函的申请标准与节点（如涉及关键基础设施、国家安全敏感数据、与美方武装力量供应链相关），并预先与外部 cyber counsel 建立 FBI / CISA / SEC Corp Fin 沟通通道，避免临时申请超时。

5. CETU 时代的披露文风重塑。CETU 锁定"欺诈性披露"，即对事件成因、范围、影响的实质性误述或重大遗漏。中资发行人在 8-K 与后续 10-Q/10-K（或 20-F/6-K）中应避免使用"已基本恢复""影响有限"等无量化支撑的笼统语言，应同步披露已知影响与合理可预见的影响区间，并明确标注披露时点信息的局限性。

格知律所如何协助

格知律所网络安全与证券披露团队凭借芝加哥总部与华盛顿特区办公室的双轨实战经验，可为中资发行人与赴美上市公司提供端到端的网络披露合规服务：（1）Item 1.05 / Item 106 披露模板定制——结合 C&DIs 104B 系列与最新 CETU 执法案例，搭建可审计的重大性认定备忘录范式；（2）董事会网络治理章程起草——含 Disclosure Committee Charter、Cyber Incident Escalation Matrix 与 CISO 直通董事会的报告线设计；（3）DOJ 国家安全推迟函申请代理——依据 28 C.F.R. § 0.59 与 DOJ 公告程序，协调 FBI、CISA 与 SEC Corp Fin 三方沟通；（4）第三方供应链合同合规审计——重写 MSA、DPA、Cyber Addendum 中的事件通报 SLA、赔偿条款与审计权；（5）SEC + CETU 调查应对——含 Wells Submission、proffer 谈判、文档保全与并行集体诉讼防御。

结语 / Outlook

从 SolarWinds 案"内部控制"理论的撤回，到 CETU 锁定"欺诈性披露"，再到 West Pharmaceutical 在 72 小时内完成 Item 1.05 披露的实战范例，SEC 已为 2026 财年绘出清晰红线：技术性瑕疵可被容忍，描述性误述与重大遗漏不可豁免。SEC 检查部门在《2026 财年检查优先事项》中再次将网络安全列为"长期优先（perennial priority）"，CETU 同步将"上市公司欺诈性披露"列入七大优先打击领域。对正在美上市或筹备赴美上市的中资企业而言，与其在事件发生后被动应对，不如此刻即启动 Item 1.05 / Item 106 / DOJ 推迟函 三位一体的预案——把"四日窗口"转化为可控的合规节奏，把"重大性认定"做成可审计的备忘录，把"披露文风"重塑为对监管与投资者双向负责的语言体系。