Приведу ниже ответ контакт центра по поводу МИС:

Нет, категорируете её как раз Вы, потому что именно медицинские организации вносят данные и непосредственно работают с персональными данными. У Вас есть непосредственный доступ к ПДн, и если на уровне медицинской организации произойдёт вмешательство злоумышленников, данные могут быть изменены на Вашем уровне, поэтому Вам необходимо категорировать данную систему. Вам не пришлось бы её категорировать если у Вас был бы доступ исключительно к просмотру и Вы совершенно не могли менять данные.

А теперь вернёмся в правовое поле. Как видно, права доступа никак не влияют на обязанность категориования, а вот право собственности - да.

возможно они намекают на "право аренды или иное законное основание"? у нас так любят крутить законом как удобно...

Как вариант, обратиться в прокуратуру.

А причем тут ПДн? Категорировать-то планируется как ОКИИ, а не как ИСПДн. Такое впечатление, что в контакт-центре, как в анекдоте "не поняли вопроса".

Вот это меня тоже смущает...

99% проценов, что они не правы, а как полность называется система?

МИС Инфоклиника

МИС приобретался или писался под заказ? В ЦРБ есть акты установки рабочих мест?

Контакт-центр не понял чего хотят от них. Как уже предлагали выше - пишите официальный запрос письмом с ссылками на 187-ФЗ и 127ПП и указанием, что ничем не владеете. Просите обосновать требование по категорированию. Ждете ответа, очень вероятно, что тут уже подумают, посмотрят нормативку и ответят иначе. Если нет, то пересылаете во ФСТЭК и дальше с ответом от регулятора уведомляете уже оператора МИС, что они не правы

Медицинская организация попала в список нарушителей для объекта КИИ.
В контакт центре вы общались с человеком не принимающим решения.

Вообще, похоже тут вопрос политический.
Эскалируйте вопрос на уровень руководства с приложением всех аргументов.
И ещё до кучи можно спросить как МО будет тот же 239 реализовывать на этом объекте.

Возникает вопрос , а как вообще МИС может принадлежать на праве собственности медицинской организации  ? Только если ее разрабатывает и поддерживает самА МО  ? Это скорее исключение , в большинстве случаев МО в рамках договора просто получает право использования и техническую Поддержку

МО может за свои средства приобрести МИС

Согласен , юридически это вполне возможно , только не понятно зачем. В моем регионе например все МО просто арендуют одну из доступных МИС по договору , по нему же получают обновления и поддержку

Если Вы представляете себе небольшую больницу, то да, никак скорее всего. Но есть ряд нучно-медицинских чего-то там центров, размером с небольшой поселок (например Военно-медицинская академия в СПб). У них вполне может быть покупная или самописная МИС, чисто для себя.

Да и посмотрите следующие документы на систему 1) кто закупил оборудование для системы, у кого оно находиттся на балансе 2) в рамках каких распоряжений или нормативно правовых актов было принято решение о внедрении, может будет из этого понятно 3) посмотрите все регламены, на работу с системой, как правило тот кто пишет регламенты то и является владельцем, ну или оператором минимум, особенно обратите внимание на регламент взаимодействия и регламент подключения(можете позвонить как раз в колцентр и спросить регламенты, тоькотнужны подписанные) 4) вот и приложите фактуру к письмам, что бы вопроосов не оставалось

Коллеги, при определении "владельца" ИС лучше обращаться к определению ИС из 149-фз. Кому принадлежат технические средства обработки? Кому принадлежит обрабатываемая информация и/или автоматизированные процессы? Кому принадлежат лицензии на ПО? Возможно, тут речь вообще о двух объектах КИИ. Нужно детально разбираться, но самое главное - не стоит путать информационную систему с программным обеспечением или предоставлением услуги. ИС - это совокупность информации, информационных технологий и технических средств; и, соответственно, "владелец" ее определяется по совокупности.

Терминалы МИС и локальный сервер пренадлежит поликлинике. Всё управление им, обновление ПО и т. п. через контакт-центр МИАЦ.

Владелец МИС администрация области