Уголовную ответственность через договор тяжело натянуть а вот штрафы легко

Общие рассуждения, не имеющие ничего общего с законом :)

Какие штрафы и на каком основании?

Да допустим миллион, но вот кто согласится если это не твоя дочка

Если ЦОД хочет у себя разместить КИИ он обязан соответсвоаать требованиям ФЗ в этом же ФЗ есть и ответственость

Коллеги, распишу немного. Аутсорсер, создаёт инфраструктуру для Заказчика, включая  ПО, разрабатываемое для заказчика. Обслуживание инфраструктуры, включая администрирование СЗИ и ПО лежит на аутсорсере. Позже, Заказчик мигрирует в созданную инфраструктуру все свои сервисы, и проводит категорирование КИИ.
Вопрос 1: Будет ли в данном случае аутсорсер относится к КИИ, например быть субъектом КИИ. И нужно ли этой организации (аутсорсеру) проводить категорирование самой себя?
Вопрос 2: В случае отнесения КИИ к значимым, нужно ли ЦОДу и интернет провайдеру соответствовать требованиям ФЗ и так же категорировать себя под уровень Заказчика?

187-ФЗ обязан исполнять только субъект КИИ. ЦОД никому ничего не должен. Это проблемы субъекта КИИ при размещении своего объекта в ЦОД добиться, что бы владелец ЦОД взял на себя какие то обязательства. И стоить это будет отдельных денег.

Жалко только, что в нормативных актах об этом ничего не написано :)

наверно подразумевается за счет владельца (ОКИИ это головная боль владельца )

Тогда это гражданско-правовые отношения. Там может быть только неустойка (если установлена договором) и возмещение вреда.

А вот перенести уголовную ответственность - это очень постараться нужно

а по первому вопросу? Будет ли в данном случае аутсорсер относится к КИИ, например быть субъектом КИИ. И нужно ли этой организации (аутсорсеру) проводить категорирование самой себя?

ЦОД обычно является оператором телематики, т.е. явлчется субъектом КИИ. Но он отвечает за свои объекты КИИ, а не за объекты своих клиентов

Вообще говоря в определении Субъекта КИИ последняя фраза может быть истолкована в сторону владельцев ЦОД.

Дайджест КИИ за 26 неделю уже в почтовых ящиках и на сайте https://zlonov.ru/kii187fz-2020-26/

Я думаю, аналогию можно с пожарной безопасностью провести. Вы можете нанять стороннюю фирму, которая будет проводить инструктаж, вести журналы, выполнять проверки, обслуживать ОПС и даже с огнетушителем бегать в случае пожара... Но уголовную ответственность нести все равно будет руководитель нанявшей организации, потому что возгорание произошло на его предприятии. Если совсем грубо, нанять киллера можно, но от уголовной ответственности это не избавит

Это и есть "услуги телематики"

Это не совсем так. В судебной практике встречаются три случая:
1. Чаще всего ответственность несет ответственный за пожарную безопасность на предприятии (не заменили просроченные огнетушители, потому что ответственный не инициировал их замену);
2. В ряде случаев ответственность несет подрядчик (например, ЧОП), если по договору подрядчик должен был делать определенные телодвижения (например, обслуживать пожарную сигнализацию), но не делал их. В этом случае может присесть и ответственный (за то, что не контролировал), но подрядчик отвечает однозначно.
3. Директор предприятия отвечает либо за то, что не назначил ответственного, либо за то, что не выделил ему необходимые ресурсы (например, не профинансировал замену огнетушителей, хотя ему о необходимости замены доложили).

Поэтому я бы не стал говорит, что "раз на предприятии, значит отвечает директор". Но подрядчик совершенно точно отвечает за неисполнение тех обязанностей, которые были на него явно возложены договором.

Коллеги, усложню вопрос Тёмыча, а может упрощу, и ЦОД и ПО принадлежит арендодателю, заказчик размещает только свою информацию и начинает ее обрабатывать с помощью инфраструктуры арендодателя, как в этом случае будет распределена зона отвественности?

Арендодатель знает предметную область информации, что она попадает под действие 187 фз

Посмотрите по аналогии с 152-фз. Есть оператор пдн и есть оператор испдн.

PaaS? Нужно смотреть, что за платформа и каков характер обработки.

Например, если вы арендуете у Mail.ru платформу (виртуальное железо + ОС + СУБД), то вы всего лишь арендует платформу, сама по себе она информационной системой (объектом КИИ) не является. Вы превращаете эту платформу в объект КИИ - вы за него и отвечаете.